Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\regasm_svchost.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- firefox.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\regasm_svchost.exe
- %APPDATA%\microsoft\windows\start menu\programs\jiomeeti\nyyfa.exe
Удаляет следующие файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe
Сетевая активность
Подключается к
- '19#.#2.89.157':80
- 'su##n.ga':80
- 'vi###ytre.xyz':80
- 'sp####lroute.net':80
TCP
Запросы HTTP GET
- http://19#.#2.89.157/m/mnn.exe
- http://su##n.ga/u/Hyxyjfqie_Rhoeprin.png
- http://www.vi###ytre.xyz/s4s9/?yV############################################################################################
- http://www.sp####lroute.net/s4s9/?yV############################################################################################
UDP
- DNS ASK su##n.ga
- DNS ASK vi###ytre.xyz
- DNS ASK sp####lroute.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgA=' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgA=
- '%WINDIR%\microsoft.net\framework\v4.0.30319\msbuild.exe'
- '%WINDIR%\syswow64\mstsc.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe"
