Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'G1MCuz2g' = '%ALLUSERSPROFILE%\CCCRD\{FIvP8d7arA341yH1f0Xs0piG7E}\G1MCuz2g.exe'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\g1mcuz2g.exe
- %ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\httpsapi.dll
- %ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\log.dll
- %ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\g1mcuz2g.txt
- %LOCALAPPDATA%\178bfbff00050657
- %ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\key
Сетевая активность
Подключается к
- 'xd##.selfip.com':8080
- 'xd##.selfip.com':12345
TCP
Запросы HTTP GET
- http://xd##.##lfip.com:8080/9x.dll via xd##.selfip.com
Другие
- 'xd##.selfip.com':12345
UDP
- DNS ASK xd##.selfip.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\g1mcuz2g.exe'
- '<Полный путь к файлу>' 490A300A560A5A0A780A650A6D0A780A6B0A670A4E0A6B0A7E0A6B0A560A490A490A490A580A4E0A560A710A4C0A430A7C0A5A0A320A6E0A3D0A6B0A780A4B0A390A3E0A3B0A730A420A3B0A6C0A3A0A520A790A3A0A7A0A630A4D0A3D0A4F0A7...' (со скрытым окном)
- '%ALLUSERSPROFILE%\cccrd\{fivp8d7ara341yh1f0xs0pig7e}\g1mcuz2g.exe' ' (со скрытым окном)
Перезапускает анализируемый образец
