Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'MicrosoftEdgeFocker' = '%APPDATA%\gemini.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\arquivo_codificado.txt
- %APPDATA%\ykkkqoq.bat
- nul
- C:\users\public\arquivo_decodificado.zip
- %APPDATA%\0ykkkqoq.bat
Удаляет следующие файлы
- C:\users\public\arquivo_codificado.txt
- C:\users\public\arquivo_decodificado.zip
Сетевая активность
Подключается к
- 'nx######us.servehumour.com':3001
TCP
Запросы HTTP GET
- http://nx#######s.servehumour.com:3001/clientes/14 via nx######us.servehumour.com
UDP
- DNS ASK nx######us.servehumour.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -command "Expand-Archive -Path 'C:\Users\Public\arquivo_decodificado.zip' -DestinationPath '%APPDATA%' -Force"
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\YKKkqOQ.bat" "' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\0YKKkqOQ.bat" "' (со скрытым окном)
- '<SYSTEM32>\shutdown.exe' /r /t 0' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\YKKkqOQ.bat" "
- '<SYSTEM32>\timeout.exe' /t 2 /nobreak
- '<SYSTEM32>\certutil.exe' -decode C:\Users\Public\arquivo_codificado.txt C:\Users\Public\arquivo_decodificado.zip
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\0YKKkqOQ.bat" "
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MicrosoftEdgeFocker /d %APPDATA%\gemini.exe /f
- '<SYSTEM32>\shutdown.exe' /r /t 0
Пытается завершить работу операционной системы Windows.
