Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'QQ°²È«ÖÐÐÄ' = 'C:\Users\Public\1.exe'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\CreateSvcRpc_804185] 'ImagePath' = 'reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v QQ°²È«ÖÐÐÄ /t REG_SZ /d "C:\Users\Public\1.exe" /f'
Создает следующие сервисы
- 'CreateSvcRpc_804185' reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v QQ°²È«ÖÐÐÄ /t REG_SZ /d "C:\Users\Public\1.exe" /f
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\reg.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\proj.exe
- C:\users\public\1.exe
Сетевая активность
Подключается к
- '38.#.187.62':80
- '47.##1.11.103':80
- '47.##1.11.103':1010
TCP
Запросы HTTP GET
- http://38.#.187.62/dsaf47.111.11.103.txt
- http://47.##1.11.103/mm.txt
- http://47.##1.11.103/m.txt
Другое
Создает и запускает на исполнение
- 'C:\users\public\proj.exe'
- 'C:\users\public\1.exe'
- '%WINDIR%\syswow64\wbem\wmic.exe' process get ExecutablePath,Name' (со скрытым окном)
- 'C:\users\public\1.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\wbem\wmic.exe' process get ExecutablePath,Name
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v QQ°²È«ÖÐÐÄ /t REG_SZ /d "C:\Users\Public\1.exe" /f
