Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '6bcc34adf049d3b73859faaf47a22dbf' = '"%PROGRAMDATA%\System.exe" ..'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] '6bcc34adf049d3b73859faaf47a22dbf' = '"%PROGRAMDATA%\System.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\6bcc34adf049d3b73859faaf47a22dbf.exe
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%PROGRAMDATA%\System.exe" "System.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\system.exe
Сетевая активность
Подключается к
- 'tk###rt.kro.kr':50001
UDP
- DNS ASK tk###rt.kro.kr
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\system.exe'
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%PROGRAMDATA%\System.exe" "System.exe" ENABLE' (со скрытым окном)
