Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'firefox' = '"%LOCALAPPDATA%\firefox.exe"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wwigrjchqaquoowjokay fb.exe
- %LOCALAPPDATA%\firefox.exe
- %APPDATA%\remcos\logs.dat
Удаляет следующие файлы
- %TEMP%\wwigrjchqaquoowjokay fb.exe
Сетевая активность
Подключается к
- 'em######nglatakva.ddns.net':9794
- 'cl###cmsv2.xyz':80
TCP
Запросы HTTP GET
- http://www.cl###cmsv2.xyz/w83h/?cD#################################################################################
UDP
- DNS ASK em######nglatakva.ddns.net
- DNS ASK cl###cmsv2.xyz
- DNS ASK jd##.net
Другое
Создает и запускает на исполнение
- '%TEMP%\wwigrjchqaquoowjokay fb.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\wlanext.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%TEMP%\Wwigrjchqaquoowjokay fb.exe"
