Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\openvpn-gui.job
- <SYSTEM32>\tasks\openvpn-gui
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %TEMP%\angevin.dll
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\notepad.exe'
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 304
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\angevin.dll
- %TEMP%\24a0001.jpg
- %LOCALAPPDATA%\adobe\color\profiles\openvpn-gui.exe
- %LOCALAPPDATA%\adobe\color\profiles\libcrypto-1_1.dll
- %TEMP%\1132614.cvr
- %WINDIR%\happenbaresark
Сетевая активность
Подключается к
- 'i.##b.co':443
TCP
- 'i.##b.co':443
UDP
- DNS ASK i.##b.co
- DNS ASK st####.rapidssl.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\adobe\color\profiles\openvpn-gui.exe'
- '%LOCALAPPDATA%\adobe\color\profiles\openvpn-gui.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {C592A7CA-B037-476E-BE99-CCD80D1B0100} S-1-5-21-1960123792-2022915161-3775307078-1001:rpixuvug\user:Interactive:[1]
- '%WINDIR%\syswow64\notepad.exe'
