Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\EnigmaProjectFile\Shell\Open\command] '' = '"%TEMP%\ENIGMA32G.EXE" "%1"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\9573b10575156061ceb16bfba15a2661.exe
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%WINDIR%\ChromeUpdate.exe" "ChromeUpdate.exe" ENABLE
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\enigma32g.exe
- %TEMP%\enigma32g1.exe
- %WINDIR%\chromeupdate.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\enigma32g1.exe
- %WINDIR%\chromeupdate.exe
Сетевая активность
Подключается к
- 'localhost':1604
- '37.##5.54.26':2313
UDP
- 'localhost':63586
- 'localhost':51125
Другое
Создает и запускает на исполнение
- '%TEMP%\enigma32g.exe'
- '%TEMP%\enigma32g1.exe'
- '%WINDIR%\chromeupdate.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%WINDIR%\ChromeUpdate.exe" "ChromeUpdate.exe" ENABLE' (со скрытым окном)
