Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\openvpn-gui.job
- <SYSTEM32>\tasks\openvpn-gui
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %TEMP%\angevin.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\notepad.exe'
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 304
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\angevin.dll
- %TEMP%\24e0001.jpg
- %LOCALAPPDATA%\google\chrome\user data\default\extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0\openvpn-gui.exe
- %LOCALAPPDATA%\google\chrome\user data\default\extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.9_0\libcrypto-1_1.dll
- %TEMP%\1266494.cvr
Сетевая активность
Подключается к
- 'i.##b.co':443
- 'oc##.thawte.com':80
TCP
- 'i.##b.co':443
UDP
- DNS ASK i.##b.co
- DNS ASK oc##.thawte.com
