Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'aaa' = 'C:\Users\Public\1234.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\window defender uqdata
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- C:\1234.exe
- C:\libcef.dll
Перемещает следующие файлы
- C:\1234.exe в C:\users\public\1234.exe
- C:\libcef.dll в C:\users\public\libcef.dll
Сетевая активность
Подключается к
- '43.##2.163.147':80
- '43.##2.163.147':800
TCP
Запросы HTTP GET
- http://43.##2.163.147/123.exe
- http://43.##2.163.147/libcef.dll
Другие
- '43.##2.163.147':800
Другое
Создает и запускает на исполнение
- 'C:\1234.exe'
- '%WINDIR%\syswow64\svchost.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
