Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] '56Mc1' = '%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I}\56Mc1.exe'
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\agent\{844ajv2rvq8wya0i}\ad_logic.dll
- %LOCALAPPDATA%\agent\{844ajv2rvq8wya0i}\56mc1.exe
- %LOCALAPPDATA%\agent\{844ajv2rvq8wya0i}\56mc1.txt
- %LOCALAPPDATA%\178bfbff00050657
- %LOCALAPPDATA%\agent\{844ajv2rvq8wya0i}\key
Сетевая активность
Подключается к
- '38.##1.34.251':8080
- '38.##1.34.251':12345
TCP
Запросы HTTP GET
- http://38.###.34.251:8080/9x.dll via 38.##1.34.251
Другие
- '38.##1.34.251':12345
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%LOCALAPPDATA%\agent\{844ajv2rvq8wya0i}\56mc1.exe'
- '<SYSTEM32>\cmd.exe' /c mkdir %LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I}' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "<Полный путь к файлу>" %LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I} -%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I} -%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I} -rdTW77M39' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I}\56Mc1.exe"' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mkdir %LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I}
- '<SYSTEM32>\cmd.exe' /c "<Полный путь к файлу>" %LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I} -%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I} -%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I} -rdTW77M39
- '<SYSTEM32>\cmd.exe' /c "%LOCALAPPDATA%\agent\{844Ajv2RvQ8wyA0I}\56Mc1.exe"
