Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Kurxeeoqsh' = 'C:\Users\Public\Libraries\hsqoeexruK.url'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\logagent.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\libraries\kurxeeoqsh.exe
- C:\users\public\libraries\hsqoeexruk.url
Сетевая активность
Подключается к
- 'en###.org.br':80
- 'mi########updatetool.duckdns.org':49155
TCP
Запросы HTTP GET
- http://en###.org.br/admin/ggdt3gyhdddhjfdhdjjdhdhfr739rfjhf6yrb7yghhdhydyedg/Kurxeeoqshohnuyektoolfcizaqjtot
Другие
- 'mi########updatetool.duckdns.org':49155
UDP
- DNS ASK en###.org.br
- DNS ASK mi########updatetool.duckdns.org
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\logagent.exe'
