Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'svpgxke' = '%ALLUSERSPROFILE%\Tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\svpgxke.exe'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\svpgxke.txt
- %ALLUSERSPROFILE%\tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\ctxmui.dll
- %ALLUSERSPROFILE%\tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\svpgxke.exe
- %LOCALAPPDATA%\178bfbff000406f1
- %ALLUSERSPROFILE%\tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\key
Перемещает следующие файлы
- <Полный путь к файлу> в %TEMP%\89d65e5a-58cc-484f-b1b9-64849e61c996\....\temporaryfile
Самоудаляется.
Сетевая активность
Подключается к
- '15#.#5.135.37':8080
- '15#.#5.135.37':12345
TCP
Запросы HTTP GET
- http://15#.##.135.37:8080/9x.dll via 15#.#5.135.37
Другие
- '15#.#5.135.37':12345
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\svpgxke.exe'
- '%WINDIR%\syswow64\cmd.exe' /c start %ALLUSERSPROFILE%\Tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\svpgxke.exe' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start %ALLUSERSPROFILE%\Tencent\wnyovcthrlvpzgnfhyipovcjqxoyfmtasdxbypjanoympdnyymzgkosmt\svpgxke.exe
