Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'stype' = '"%APPDATA%\Microsoft\Windows\Start Menu\Programs\stype.exe"'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
следующие пользовательские процессы:
- images.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %APPDATA%\microsoft\windows\start menu\programs\stype.exe
- %HOMEPATH%\documents\images.exe
Сетевая активность
Подключается к
- '13.#9.75.32':80
- 'fa###.bounceme.net':2041
TCP
Запросы HTTP GET
- http://13.#9.75.32/igw/Bjnkv.exe
UDP
- DNS ASK fa###.bounceme.net
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\documents\images.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMQAxAA==' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' ' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMQAxAA==
- '%WINDIR%\syswow64\cmd.exe'
