Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent dc694e5f882ad14c
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- ctwafgw
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d47f.tmp
- %APPDATA%\ctwafgw
- %APPDATA%\utgjevf
- %TEMP%\116e.exe
- %TEMP%\3d6e.exe
- %TEMP%\3fee.exe
- %TEMP%\4211.exe
- %TEMP%\44ff.exe
- %TEMP%\479f.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\ctwafgw
- %APPDATA%\utgjevf
Удаляет следующие файлы
- %TEMP%\d47f.tmp
Подменяет следующие файлы
- %TEMP%\d47f.tmp
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://ns####serv437.xyz/socks111.exe
- http://ns####serv437.xyz/tau111.exe
- http://ns####serv437.xyz/lkx111.exe
- http://ns####serv437.xyz/lb777.exe
- http://ns####serv437.xyz/lkb99.exe
- http://ns####serv437.xyz/dmx99.exe
Запросы HTTP POST
- http://at####t20cx.best/statweb577/
UDP
- DNS ASK re###at35xm.xyz
- DNS ASK de###ot2cx.club
- DNS ASK at####t20cx.best
- DNS ASK ns####serv437.xyz
- DNS ASK b.##igu.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\ctwafgw'
- '%TEMP%\116e.exe'
- '%TEMP%\3fee.exe'
- '%TEMP%\3d6e.exe'
- '%TEMP%\4211.exe'
- '%TEMP%\479f.exe'
- '%TEMP%\44ff.exe'
- '%APPDATA%\ctwafgw' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {52D5C868-A912-4E0D-9D04-725186DE9AEE} S-1-5-21-1960123792-2022915161-3775307078-1001:bnprwhfuptey\user:Interactive:[1]
