Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%HOMEPATH%\documents\hfzrolh.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wermgr.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\hfzrolh.exe
- %TEMP%\logaeb0.tmp
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Удаляет следующие файлы
- %TEMP%\logaeb0.tmp
Сетевая активность
TCP
- 'pl######inancialgame.com':443
- '19#.#36.178.52':449
- 'ap#.#pify.org':443
UDP
- DNS ASK pl######inancialgame.com
- DNS ASK ap#.#pify.org
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\documents\hfzrolh.exe' ' (со скрытым окном)
- '<SYSTEM32>\wermgr.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wermgr.exe'
