Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdater' = '"%APPDATA%\ahsleyhdnq789832.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ahsleyhdnq789832.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\windowsupdater.lnk
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\ahsleyhdnq789832.exe'
Внедряет код в
следующие пользовательские процессы:
- ahsleyhdnq789832.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ahsleyhdnq789832.exe
- %TEMP%\ahsleyhdnq789832.exe
- %LOCALAPPDATA%\get_cliboard_address\ahsleyhdnq789832.exe_url_pxhnaxnvjc1321m5i0ujwlrli1lnfado\1.0.0.0\xdelrcyi.newcfg
Перемещает следующие файлы
- %LOCALAPPDATA%\get_cliboard_address\ahsleyhdnq789832.exe_url_pxhnaxnvjc1321m5i0ujwlrli1lnfado\1.0.0.0\xdelrcyi.newcfg в %LOCALAPPDATA%\get_cliboard_address\ahsleyhdnq789832.exe_url_pxhnaxnvjc1321m5i0ujwlrli1lnfado\1.0.0.0\user.config
Сетевая активность
Подключается к
- 'lg##v.tk':80
TCP
Запросы HTTP GET
- http://lg##v.tk/ashleyzx.exe
UDP
- DNS ASK lg##v.tk
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
