Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Steam' = '%APPDATA%\NVIDIA\dllhost.exe'
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: 'OllyDBg'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1lh64.exe
- %TEMP%\g0f3c.exe
- %TEMP%\ja2j8.exe
- %APPDATA%\nvidia\dllhost.exe
- %TEMP%\l1ie7.exe
- %TEMP%\wc_5.cpl
- %TEMP%\g9i80d5ella2717.exe
Сетевая активность
Подключается к
- 'bl####k1.beget.tech':80
- 'mb####ngladesh.in':80
- 'gu####osaled.xyz':80
- '19#.#50.103.38':80
- 'yandex.ru':443
TCP
Другие
- 'bl####k1.beget.tech':80
- 'mb####ngladesh.in':80
- 'gu####osaled.xyz':80
- 'yandex.ru':443
UDP
- DNS ASK bl####k1.beget.tech
- DNS ASK mb####ngladesh.in
- DNS ASK gu####osaled.xyz
- DNS ASK yandex.ru
Другое
Ищет следующие окна
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'ID' WindowName: ''
- ClassName: 'ObsidianGUI' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\1lh64.exe'
- '%TEMP%\g0f3c.exe'
- '%TEMP%\ja2j8.exe'
- '%TEMP%\l1ie7.exe'
- '%TEMP%\g9i80d5ella2717.exe' https://iplogger.org/1mJsh7
Запускает на исполнение
- '%WINDIR%\syswow64\control.exe' "%TEMP%\WC_5.Cpl",
- '%WINDIR%\syswow64\rundll32.exe' Shell32.dll,Control_RunDLL "%TEMP%\WC_5.Cpl",
- '<SYSTEM32>\rundll32.exe' Shell32.dll,Control_RunDLL "%TEMP%\WC_5.Cpl",
