Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '301c2f38399e4dce7de3b197eaa329d2' = '"%ALLUSERSPROFILE%\SQL .exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '301c2f38399e4dce7de3b197eaa329d2' = '"%ALLUSERSPROFILE%\SQL .exe" ..'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%ALLUSERSPROFILE%\SQL .exe" "SQL .exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\sql .exe
- %HOMEPATH%\desktop\~$fieldnotes1966.docx
Сетевая активность
TCP
- 'mo####r34.ddns.net':5566
UDP
- DNS ASK mo####r34.ddns.net
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\sql .exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%ALLUSERSPROFILE%\SQL .exe" "SQL .exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "%HOMEPATH%\Desktop\nwfieldnotes1966.docx"
- '%WINDIR%\explorer.exe'
- '%ProgramFiles(x86)%\google\chrome\application\chrome.exe'
