Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\雙一駛子流喬喇瑪庵魚特山金蛋喇氏奧網金加
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\aspnet_regbrowsers.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Сетевая активность
Подключается к
- 'na#####r4t.duckdns.org':5552
- 'co####no.ddns.net':5552
UDP
- DNS ASK na#####r4t.duckdns.org
- DNS ASK co####no.ddns.net
Другое
Создает и запускает на исполнение
- '<Полный путь к файлу>' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\aspnet_regbrowsers.exe'
- '<SYSTEM32>\taskeng.exe' {DEE0A901-D0E6-4313-9102-F5C471624C66} S-1-5-21-1960123792-2022915161-3775307078-1001:awdiepqg\user:Interactive:[1]
