Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\Security Center.exe" "Security Center.exe" ENABLE
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\sex.pdf
- %TEMP%\security_center_protected.exe
- %APPDATA%\security center.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\security_center_protected.exe
- %APPDATA%\security center.exe
Сетевая активность
Подключается к
- 'el#####y369.linkpc.net':3489
UDP
- DNS ASK el#####y369.linkpc.net
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'File Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: 'Process Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\security_center_protected.exe'
- '%APPDATA%\security center.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%APPDATA%\Security Center.exe" "Security Center.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\sex.pdf"
