Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\firefox default browser agent 91858f72a8615b91
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\evtrrvw
- %TEMP%\8fe0.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\evtrrvw
Самоудаляется.
Сетевая активность
Подключается к
- 'ho####ile-file0.com':80
TCP
Запросы HTTP POST
- http://ho####ile-file0.com/
UDP
- DNS ASK ho####ile-file0.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\evtrrvw'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\8FE0.bat" "' (со скрытым окном)
- '%APPDATA%\evtrrvw' ' (со скрытым окном)
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\8FE0.bat" "
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\clicker\key" /v primary /t REG_DWORD /d 1
- '<SYSTEM32>\taskeng.exe' {4E6FC51E-97B4-4F1D-A61A-BAA9957F70B0} S-1-5-21-1238866942-1249195528-555854008-1000:xabkhwp\user:Interactive:[1]
