Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ec40016aefa10c1b7a71ef6a56c6d383
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\ec40016aefa10c1b7a71ef6a56c6d383
- %PROGRAMDATA%\3b2b21708d\bdif.exe
Сетевая активность
TCP
Запросы HTTP POST
- http://se####tool.space/oOjgox/index.php
- http://cp###obal.cloud/oOjgox/index.php
- http://tr####gsignals.club/oOjgox/index.php
UDP
- DNS ASK se####tool.space
- DNS ASK cp###obal.cloud
- DNS ASK tr####gsignals.club
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\3b2b21708d\bdif.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C SCHTASKS /Create /SC HOURLY /MO 1 /TN ec40016aefa10c1b7a71ef6a56c6d383 /TR %PROGRAMDATA%\3b2b21708d\bdif.exe
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v Startup /t REG_SZ /d %PROGRAMDATA%\3b2b21708d
- '%WINDIR%\syswow64\schtasks.exe' /Create /SC HOURLY /MO 1 /TN ec40016aefa10c1b7a71ef6a56c6d383 /TR %PROGRAMDATA%\3b2b21708d\bdif.exe
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v cred /t REG_SZ /d "rundll32 %TEMP%\cred.dll, Main"
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\cred.dll, Main
Использует альтернативные потоки данных NTFS
