Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'mdm' = '<SYSTEM32>\helpr64.exe'
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://bo###tela.com
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\arst.bin
Самоперемещается
- из <Полный путь к файлу> в %WINDIR%\syswow64\helpr64.exe
Сетевая активность
UDP
- DNS ASK hi##ado.com
- DNS ASK bo###tela.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v mdm /t reg_sz /d <SYSTEM32>\helpr64.exe /f' (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://bo###tela.com' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v mdm /t reg_sz /d <SYSTEM32>\helpr64.exe /f
- '%WINDIR%\syswow64\cmd.exe' /c /c reg add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v mdm /t reg_sz /d <SYSTEM32>\helpr64.exe /f
- '%WINDIR%\syswow64\reg.exe' add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v mdm /t reg_sz /d <SYSTEM32>\helpr64.exe /f
