Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\easyrГ©sumГ©.job
- <SYSTEM32>\tasks\easyrГ©sumГ©
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Political Wealth] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Political Wealth] 'ImagePath' = '%APPDATA%\Political Wealth\Political Wealth.exe'
Создает следующие сервисы
- 'Political Wealth' %APPDATA%\Political Wealth\Political Wealth.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\{a2c1a45e-c424-ae89-a2c1-1a45ec42917b}\<Имя файла>.exe
- %APPDATA%\political wealth\political wealth.exe
- %ALLUSERSPROFILE%\{a2c1a45e-c424-ae89-a2c1-1a45ec42917b}\<Имя файла>.dat
- %APPDATA%\political wealth\fba00.dat
Сетевая активность
Подключается к
- 'gr###model.biz':80
- 'ce####-ring.link':80
- 'al####el-pro.com':80
TCP
Запросы HTTP GET
- http://ce####-ring.link/?q=######################################################################################################################################################################...
UDP
- DNS ASK gr###model.biz
- DNS ASK ce####-ring.link
- DNS ASK al####el-pro.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\political wealth\political wealth.exe'
