Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Éù¿¨Çý¶¯' = 'C:\Users\Public\Downloads\Fencenls\rsqahr\Agghosts.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\downloads\misnobi\rsqahr\a.7z
- C:\users\public\downloads\fencenls\rsqahr\server.log
- C:\users\public\downloads\fencenls\rsqahr\agghosts.exe
- C:\users\public\downloads\fencenls\rsqahr\exceptcatch.dll
- C:\users\public\downloads\fencenls\rsqahr\msvcp140.dll
- C:\users\public\downloads\fencenls\rsqahr\vcruntime140.dll
- <Текущая директория>\tem.vbs
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\tem.vbs
Удаляет следующие файлы
- <Текущая директория>\tem.vbs
Самоудаляется.
Сетевая активность
Подключается к
- '69.##6.85.114':8090
UDP
- DNS ASK ba##u.com
Другое
Создает и запускает на исполнение
- 'C:\users\public\downloads\fencenls\rsqahr\agghosts.exe'
- '%WINDIR%\syswow64\wscript.exe' "<Текущая директория>\tem.vbs"
