Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 8f0564b81f62c4e8
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: 'OllyDBg'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wtsbwga
- %TEMP%\379.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\wtsbwga
Самоудаляется.
Сетевая активность
Подключается к
- 'ho#####ta-coin-11.com':80
- 'le##u.top':80
- 'co#####in-file-9.com':80
- '18#.#66.1.115':80
- 'tr##sfer.sh':443
TCP
Запросы HTTP GET
- http://le##u.top/dl/buildz.exe
- http://co#####in-file-9.com/files/902_1643186434_471.exe
- http://18#.#66.1.115/capibar
Запросы HTTP POST
- http://ho#####ta-coin-11.com/
Другие
- 'tr##sfer.sh':443
UDP
- DNS ASK ho#####ta-coin-11.com
- DNS ASK le##u.top
- DNS ASK co#####in-file-9.com
- DNS ASK tr##sfer.sh
Другое
Ищет следующие окна
- ClassName: 'ID' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'ObsidianGUI' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\379.exe'
