Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'dene' = 'wscript.exe %HOMEPATH%\Downloads\dene.ini //e:VBScript //b'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '<SYSTEM32>\wscript.exe' %HOMEPATH%\Downloads\dene.ini //e:VBScript //b
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\ipconfig.exe' /flushdns
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\downloads\dene.ini
Сетевая активность
Подключается к
- 'co###la.online':80
TCP
Запросы HTTP GET
- http://83.##6.240.31/cache.php?in##################
UDP
- DNS ASK co###la.online
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
- '<SYSTEM32>\wscript.exe' %HOMEPATH%\Downloads\dene.ini //e:VBScript //b' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' /Automation -Embedding
