Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'AF1522BA' = '%APPDATA%\AF1522BA\bin.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\taskhost.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\af1522ba\bin.exe
Сетевая активность
Подключается к
- 'sp##nes.pw':80
- 'uy###unqkxnx.pw':80
- 'vc###nnejwxx.pw':80
- 'cm###scccrej.pw':80
- 'ev###qvgmpph.pw':80
- 'mf###imvyrsp.pw':80
- 'ut###nffxpcj.pw':80
- 'fk###feonnyh.pw':80
- 'gf###tcolrrb.pw':80
- 'ww###vvdtmeq.pw':80
- 'xt###qfrsubt.pw':80
- 'vr###bxxpddg.pw':80
TCP
Запросы HTTP POST
- http://sp##nes.pw/EiDQjNbWEQ/
- http://vc###nnejwxx.pw/EiDQjNbWEQ/
- http://cm###scccrej.pw/EiDQjNbWEQ/
- http://ev###qvgmpph.pw/EiDQjNbWEQ/
- http://mf###imvyrsp.pw/EiDQjNbWEQ/
- http://ut###nffxpcj.pw/EiDQjNbWEQ/
- http://fk###feonnyh.pw/EiDQjNbWEQ/
- http://gf###tcolrrb.pw/EiDQjNbWEQ/
- http://ww###vvdtmeq.pw/EiDQjNbWEQ/
- http://xt###qfrsubt.pw/EiDQjNbWEQ/
- http://vr###bxxpddg.pw/EiDQjNbWEQ/
UDP
- DNS ASK sp##nes.pw
- DNS ASK uy###unqkxnx.pw
- DNS ASK vc###nnejwxx.pw
- DNS ASK cm###scccrej.pw
- DNS ASK ev###qvgmpph.pw
- DNS ASK mf###imvyrsp.pw
- DNS ASK ut###nffxpcj.pw
- DNS ASK fk###feonnyh.pw
- DNS ASK gf###tcolrrb.pw
- DNS ASK ww###vvdtmeq.pw
- DNS ASK xt###qfrsubt.pw
- DNS ASK vr###bxxpddg.pw
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\winver.exe'
