Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\openvpn-gui.job
- <SYSTEM32>\tasks\openvpn-gui
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %TEMP%\amblers.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\notepad.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\amblers.dll
- %TEMP%\12277e.jpg
- %LOCALAPPDATA%\google\chrome\user data\default\extension state\openvpn-gui.exe
- %LOCALAPPDATA%\google\chrome\user data\default\extension state\libcrypto-1_1.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://oc##.#tartssl.com/sub/class2/code/ca/MEMwQTA%2FMD0wOzAJBgUrDgMCGgUABBQSOgrhRCSnWfKxoWTjWxhk8hga9AQU0E4PQJlsuEsZbzsouODjiAc0qrcCAhAV
UDP
- DNS ASK i.##b.co
- DNS ASK oc##.#tartssl.com
