Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Iwzce' = '"%APPDATA%\Dehmd\Iwzce.exe"'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%ALLUSERSPROFILE%\images.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\dehmd\iwzce.exe
- %ALLUSERSPROFILE%\images.exe
Сетевая активность
Подключается к
- 'ba######6-59-73.ngrok.io':80
TCP
Запросы HTTP GET
- http://ba######6-59-73.ngrok.io/download/Dkqvmp_Hbeedtgg.bmp
UDP
- DNS ASK ba######6-59-73.ngrok.io
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\images.exe'
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f /v Load /t REG_SZ /d "%ALLUSERSPROFILE%\images.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c timeout 10' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 10
- '%WINDIR%\syswow64\timeout.exe' 10
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f /v Load /t REG_SZ /d "%ALLUSERSPROFILE%\images.exe"
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f /v Load /t REG_SZ /d "%ALLUSERSPROFILE%\images.exe"
