Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = '"%APPDATA%\ashlyvb7492.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ashlyvb7492.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\windowsupdater.lnk
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\ashlyvb7492.exe'
Внедряет код в
следующие пользовательские процессы:
- ashlyvb7492.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ashlyvb7492.exe
- %TEMP%\ashlyvb7492.exe
- %LOCALAPPDATA%\get_cliboard_address\ashlyvb7492.exe_url_ukk4kre5sysdifk4ytahzfsc45q0zdto\1.0.0.0\ew4abivq.newcfg
Перемещает следующие файлы
- %LOCALAPPDATA%\get_cliboard_address\ashlyvb7492.exe_url_ukk4kre5sysdifk4ytahzfsc45q0zdto\1.0.0.0\ew4abivq.newcfg в %LOCALAPPDATA%\get_cliboard_address\ashlyvb7492.exe_url_ukk4kre5sysdifk4ytahzfsc45q0zdto\1.0.0.0\user.config
Сетевая активность
UDP
- DNS ASK hd##lg.xyz
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
