Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] '6hg38' = '%LOCALAPPDATA%\InstallAgent\{enT3TvJg445My7}\6hg38.exe'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\installagent\{ent3tvjg445my7}\6hg38.exe
- %LOCALAPPDATA%\installagent\{ent3tvjg445my7}\6hg38.txt
- %LOCALAPPDATA%\installagent\{ent3tvjg445my7}\ad_logic.dll
- %LOCALAPPDATA%\178bfbff000406f1
- %LOCALAPPDATA%\installagent\{ent3tvjg445my7}\key
Сетевая активность
Подключается к
- '11#.8.51.30':8080
- '11#.8.51.30':12345
TCP
Запросы HTTP GET
- http://11#.#.51.30:8080/9x.dll via 11#.8.51.30
Другие
- '11#.8.51.30':12345
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\installagent\{ent3tvjg445my7}\6hg38.exe'
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\InstallAgent\{enT3TvJg445My7}\6hg38.exe"' (со скрытым окном)
- '<Полный путь к файлу>' %LOCALAPPDATA%\InstallAgent\{enT3TvJg445My7} --{R3N7VaB7xP464a6K} {2}' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\InstallAgent\{enT3TvJg445My7}\6hg38.exe"
