Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\ozoon
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\Dll52.exe" "Dll52.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ozoon.exe
- %TEMP%\dll52.exe
Удаляет следующие файлы
- %TEMP%\dll52.exe
Сетевая активность
Подключается к
- 'oz####.linkpc.net':1177
TCP
Другие
- 'oz####.linkpc.net':1177
UDP
- DNS ASK oz####.linkpc.net
Другое
Создает и запускает на исполнение
- '%TEMP%\ozoon.exe'
- '%TEMP%\dll52.exe'
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn OZOON /tr %LOCALAPPDATA%\Temp/OZOON.exe' (со скрытым окном)
- '%TEMP%\ozoon.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\Dll52.exe" "Dll52.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn OZOON /tr %LOCALAPPDATA%\Temp/OZOON.exe
- '<SYSTEM32>\taskeng.exe' {E2780E5D-FA2E-47E0-87E7-021B1CD942DE} S-1-5-21-1960123792-2022915161-3775307078-1001:xudwppacl\user:Interactive:[1]
