Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Startup key' = '%TEMP%\subfolder1\Yourphone.vbs'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\908.exe'
Внедряет код в
следующие пользовательские процессы:
- yourphone.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\908.exe
- %TEMP%\subfolder1\yourphone.exe
- %TEMP%\subfolder1\yourphone.vbs
- %HOMEPATH%\remcos\logs.dat
Сетевая активность
Подключается к
- 're#####ealth.ddns.net':39777
TCP
Запросы HTTP GET
- http://bi#.ly/2C0jX71
- http://li###nboard.pt/cli/yppersteprstelig.txt
- http://10#.#9.91.158/WEALTHREMCOS_UNVtHEtvA173.bin
UDP
- DNS ASK bi#.ly
- DNS ASK li###nboard.pt
- DNS ASK re#####ealth.ddns.net
Другое
Создает и запускает на исполнение
- '%TEMP%\subfolder1\yourphone.exe'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
