Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\autofmt.exe
Сетевая активность
Подключается к
- '17#.#1.95.239':80
- 'bo####anblog.com':80
- 'dy###777.com':80
- 'ba####ileuae.com':80
- 'ma###all.xyz':80
TCP
Запросы HTTP GET
- http://17#.#1.95.239/raz/515
- http://www.bo####anblog.com/s2q8/?bd#####################################################################################
- http://www.ba####ileuae.com/s2q8/?bd#####################################################################################
- http://www.ga####cgomwuz.xyz/s2q8/?bd#####################################################################################
- http://www.ma###all.xyz/s2q8/?bd#####################################################################################
UDP
- DNS ASK bo####anblog.com
- DNS ASK dy###777.com
- DNS ASK vi####ytoto.store
- DNS ASK ba####ileuae.com
- DNS ASK ga####cgomwuz.xyz
- DNS ASK ma###all.xyz
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\systray.exe'
