Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'SPl8B' = '%LOCALAPPDATA%\InstallAgent\{yW65hzgzp45YQ}\SPl8B.exe'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\installagent\{yw65hzgzp45yq}\spl8b.exe
- %LOCALAPPDATA%\installagent\{yw65hzgzp45yq}\spl8b.txt
- %LOCALAPPDATA%\installagent\{yw65hzgzp45yq}\ad_logic.dll
- %LOCALAPPDATA%\178bfbff000306f2
- %LOCALAPPDATA%\installagent\{yw65hzgzp45yq}\key
Сетевая активность
Подключается к
- '15#.#9.238.241':8080
- '15#.#9.238.241':12345
TCP
Запросы HTTP GET
- http://15#.##.238.241:8080/9x.dll via 15#.#9.238.241
Другие
- '15#.#9.238.241':12345
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\installagent\{yw65hzgzp45yq}\spl8b.exe'
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\InstallAgent\{yW65hzgzp45YQ}\SPl8B.exe"' (со скрытым окном)
- '<Полный путь к файлу>' %LOCALAPPDATA%\InstallAgent\{yW65hzgzp45YQ} --{2kOTpIOB5kx04ocCCvBO} {2}' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\InstallAgent\{yW65hzgzp45YQ}\SPl8B.exe"
