Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\'system.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- system.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\system.exe
- %TEMP%\tmpa14d.tmp.bat
- nul
Сетевая активность
Подключается к
- 'el#####al.duckdns.org':4545
TCP
- 'pa###bin.com':443
UDP
- DNS ASK pa###bin.com
- DNS ASK el#####al.duckdns.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\system.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "'System.exe"' /tr "'%APPDATA%\System.exe"'' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc ONLOGON /RL HIGHEST /tn "'System.exe"' /tr "'%APPDATA%\System.exe"'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\tmpA14D.tmp.bat""
- '%WINDIR%\syswow64\timeout.exe' 3
