Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '022108532f9835c0a247aa896beb147e' = '"%APPDATA%\ApplicationFrameHost.exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '022108532f9835c0a247aa896beb147e' = '"%APPDATA%\ApplicationFrameHost.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\022108532f9835c0a247aa896beb147e.exe
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\ApplicationFrameHost.exe" "ApplicationFrameHost.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\[legondsdrop] 287c3d725f604f29b9c151652bf4770c\0.exe
- %APPDATA%\[legondsdrop] 287c3d725f604f29b9c151652bf4770c\1.exe
- %TEMP%\mrtc947.tmp\stdrt.exe
- %TEMP%\mrtc947.tmp\mmfs2.dll
- %TEMP%\mrtc947.tmp\pinball.mvx
- %TEMP%\mrtc947.tmp\clickteam-dragdrop.mvx
- %TEMP%\mrtc947.tmp\waveflt.sft
- %APPDATA%\applicationframehost.exe
Сетевая активность
Подключается к
- 'cx###z.zz.am':1
UDP
- DNS ASK cx###z.zz.am
Другое
Создает и запускает на исполнение
- '%APPDATA%\[legondsdrop] 287c3d725f604f29b9c151652bf4770c\0.exe'
- '%APPDATA%\[legondsdrop] 287c3d725f604f29b9c151652bf4770c\1.exe'
- '%TEMP%\mrtc947.tmp\stdrt.exe' /SF "%APPDATA%\[LegondsDrop] 287c3d725f604f29b9c151652bf4770c\1.exe" /SO368640
- '%APPDATA%\applicationframehost.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\ApplicationFrameHost.exe" "ApplicationFrameHost.exe" ENABLE' (со скрытым окном)
