Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Jegnb' = '"%APPDATA%\Iabbvs\Jegnb.exe"'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\hjky.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\hjky.exe
- %APPDATA%\iabbvs\jegnb.exe
Сетевая активность
Подключается к
- 'dd##.data.hu':80
- '21#.#93.30.54':3680
TCP
Запросы HTTP GET
- http://dd##.data.hu/get/247588/13243195/Fkrwn.exe
UDP
- DNS ASK dd##.data.hu
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 20' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout 38' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c timeout 20
- '%WINDIR%\syswow64\timeout.exe' 20
- '%WINDIR%\syswow64\cmd.exe' /c timeout 38
- '%WINDIR%\syswow64\timeout.exe' 38
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
