Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Szniuauuh' = '"%APPDATA%\Ezydh\Szniuauuh.exe"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ezydh\szniuauuh.exe
- %APPDATA%\remcos\logs.dat
Сетевая активность
Подключается к
- 'im######moodcheema.ddns.net':9830
- 'ge###ugin.net':80
TCP
Запросы HTTP GET
- http://ge###ugin.net/json.gp
Другие
- 'im######moodcheema.ddns.net':9830
UDP
- DNS ASK st####verflow.com
- DNS ASK im######moodcheema.ddns.net
- DNS ASK ge###ugin.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 20' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c timeout 20
- '%WINDIR%\syswow64\timeout.exe' 20
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
