Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ohavaer
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\cosuv\wegerb\szvmhegn.exe'
- 'C:\cosuv\wegerb\szvmhegn.exe' /C
- 'C:\cosuv\wegerb\szvmhegn.exe' /I ohavaer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\cosuv\wegerb\szvmhegn.exe
- %APPDATA%\microsoft\zxtfxyuy\ybuouyr.dat
- %APPDATA%\microsoft\zxtfxyuy\ybuouyr.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ja##a.fun/crun20.gif
UDP
- DNS ASK ja##a.fun
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\zxtfxyuy\ybuouyr.exe'
- '%APPDATA%\microsoft\zxtfxyuy\ybuouyr.exe' /C
- 'C:\cosuv\wegerb\szvmhegn.exe' ' (со скрытым окном)
- 'C:\cosuv\wegerb\szvmhegn.exe' /C' (со скрытым окном)
- '%APPDATA%\microsoft\zxtfxyuy\ybuouyr.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn ohavaer /tr "\"C:\COsuv\Wegerb\szvMhegn.exe\" /I ohavaer" /SC ONCE /Z /ST 17:54 /ET 18:06' (со скрытым окном)
- '%APPDATA%\microsoft\zxtfxyuy\ybuouyr.exe' /C' (со скрытым окном)
- 'C:\cosuv\wegerb\szvmhegn.exe' /I ohavaer' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /RU "NT AUTHORITY\SYSTEM" /tn ohavaer /tr "\"C:\COsuv\Wegerb\szvMhegn.exe\" /I ohavaer" /SC ONCE /Z /ST 17:54 /ET 18:06
- '%WINDIR%\syswow64\explorer.exe'
