Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\choice.exe
Сетевая активность
Подключается к
- 'hu#######.##s-ap-southeast-1.aliyuncs.com':443
- 'cx#.cz':2052
TCP
Запросы HTTP GET
- http://cx#.cz/s/wd=dd/rsv_spt=1/rsv_iqid=0xc8d8430400091389/issp=1
Запросы HTTP POST
- http://cx#.cz/s/ie=utf-8/f=8/rsv_bp=1/ch=1/tn=62095104_28_oem_dg?ar#####################################################
Другие
- 'hu#######.##s-ap-southeast-1.aliyuncs.com':443
UDP
- DNS ASK hu#######.##s-ap-southeast-1.aliyuncs.com
- DNS ASK cx#.cz
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C curl ident.me' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C tasklist | findstr 360T' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\choice.exe'
- '<SYSTEM32>\cmd.exe' /C curl ident.me
- '<SYSTEM32>\cmd.exe' /C tasklist | findstr 360T
- '<SYSTEM32>\tasklist.exe'
- '<SYSTEM32>\findstr.exe' 360T
- '<SYSTEM32>\cmd.exe' /C reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
- '<SYSTEM32>\reg.exe' query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
