Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] '9rXPHF' = '%LOCALAPPDATA%\InstallAgent\{C8B5tMz48a2}\9rXPHF.exe'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\installagent\{c8b5tmz48a2}\9rxphf.exe
- %LOCALAPPDATA%\installagent\{c8b5tmz48a2}\9rxphf.txt
- %LOCALAPPDATA%\installagent\{c8b5tmz48a2}\ad_logic.dll
- %LOCALAPPDATA%\178bfbff00050657
- %LOCALAPPDATA%\installagent\{c8b5tmz48a2}\key
Сетевая активность
Подключается к
- 'sl##888.com':8080
- 'sl##888.com':12345
TCP
Запросы HTTP GET
- http://sl####8.com:8080/9x.dll via sl##888.com
Другие
- 'sl##888.com':12345
UDP
- DNS ASK sl##888.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\installagent\{c8b5tmz48a2}\9rxphf.exe'
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\InstallAgent\{C8B5tMz48a2}\9rXPHF.exe"' (со скрытым окном)
- '<Полный путь к файлу>' %LOCALAPPDATA%\InstallAgent\{C8B5tMz48a2} --{1xgq30vy6XYtWFb} {2}' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\InstallAgent\{C8B5tMz48a2}\9rXPHF.exe"
