Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'a60ffa40dc1bd8b6c5445900e21d57d1' = '"%TEMP%\server.exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'a60ffa40dc1bd8b6c5445900e21d57d1' = '"%TEMP%\server.exe" ..'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\server.exe" "server.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fcxfmr.exe
- %TEMP%\twfnx.pdf
- %TEMP%\server.exe
Сетевая активность
TCP
- '35.##9.113.16':1604
Другое
Ищет следующие окна
- ClassName: 'AdobeAcrobat' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\fcxfmr.exe'
- '%TEMP%\server.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\server.exe" "server.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\Twfnx.pdf"
