Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\openvpn-gui.job
- <SYSTEM32>\tasks\openvpn-gui
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %TEMP%\artiodactyl.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\extrac32.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\extrac32.exe
- %WINDIR%\syswow64\extrac32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\artiodactyl.dll
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %TEMP%\fe71c.jpg
- %LOCALAPPDATA%\google\chrome\user data\default\openvpn-gui.exe
- %LOCALAPPDATA%\google\chrome\user data\default\libcrypto-1_1.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.thawte.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQwF4prw9S7mCbCEHD%2Fyl6nWPkczAQUe1tFz6%2FOy3r9MZIaarbzRutXSFACEEeXTXhzpbyrDS%2BzcBkvzl4%3D
UDP
- DNS ASK i.##b.co
- DNS ASK oc##.thawte.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\google\chrome\user data\default\openvpn-gui.exe'
- '%LOCALAPPDATA%\google\chrome\user data\default\openvpn-gui.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {743E44B9-35E7-48E4-B2DA-830115C6E7BC} S-1-5-21-1960123792-2022915161-3775307078-1001:eebklfgjbrw\user:Interactive:[1]
- '%WINDIR%\syswow64\extrac32.exe'
- '%WINDIR%\syswow64\cmd.exe'
