Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Startup' = 'C:\Users\Public\Documents\hkhkhkhk.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'f8c5d5ea8dac981769c064ccbf652e0d' = '"<Полный путь к файлу>" ..'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'f8c5d5ea8dac981769c064ccbf652e0d' = '"<Полный путь к файлу>" ..'
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>" "<Имя файла>.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\hkhkhkhk.exe
Сетевая активность
Подключается к
- '17#.#21.95.200':1
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>" "<Имя файла>.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "Startup" /t REG_SZ /d C:\Users\Public\Documents\hkhkhkhk.exe /f
