Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '247200fc5' = '%APPDATA%\247200fc5\7200fc51af.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\asalam.exe
- %TEMP%\rarsfx0\invoice.png
- %TEMP%\rarsfx0\tmp\zip\work\429276683.txt
- %APPDATA%\247200fc5\7200fc51af.exe
Сетевая активность
Подключается к
- 'co#####s-finance.com':80
- 'ig##ocd.com':80
- 'em######gitalmarketing.com':80
- 'ih###hat.com':80
- 'bu####sdealer.com':80
- 'bu####sdealer.com':443
TCP
Запросы HTTP POST
- http://as#####esigns.com.au/0rTVlG.php?d=#############
- http://co#####s-finance.com/kJsnUb.php?r=###########
- http://ig##ocd.com/rklVaO.php?d=###########
- http://em######gitalmarketing.com/09LihY.php?q=############
- http://ih###hat.com/1NEnbi.php?l=#############
- http://bu####sdealer.com/vR3BEX.php?w=###########
UDP
- DNS ASK as#####esigns.com.au
- DNS ASK va#######dispensarycoalition.ca
- DNS ASK co#####s-finance.com
- DNS ASK ig##ocd.com
- DNS ASK in#####iandomains.com
- DNS ASK em######gitalmarketing.com
- DNS ASK ih###hat.com
- DNS ASK it####shkino.org
- DNS ASK bu####sdealer.com
- DNS ASK ap###tudes.fr
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\asalam.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
