Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut8f92.tmp
- %TEMP%\valorant.exe
- %TEMP%\aut90bb.tmp
- %TEMP%\hosts.bat
- nul
- %WINDIR%\temp\cabba0b.tmp
- %WINDIR%\temp\tarba0c.tmp
- %WINDIR%\temp\cabbb45.tmp
- %WINDIR%\temp\tarbb46.tmp
Удаляет следующие файлы
- %TEMP%\aut8f92.tmp
- %TEMP%\aut90bb.tmp
- %TEMP%\hosts.bat
- %WINDIR%\temp\cabba0b.tmp
- %WINDIR%\temp\tarba0c.tmp
- %WINDIR%\temp\cabbb45.tmp
- %WINDIR%\temp\tarbb46.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'localhost':49185
- 'localhost':49187
- '43.##5.145.89':443
TCP
Другие
- 'localhost':49185
- 'localhost':49187
- 'localhost':49188
- '43.##5.145.89':443
Другое
Создает и запускает на исполнение
- '%TEMP%\valorant.exe'
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\hosts.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\hosts.bat
- '%WINDIR%\syswow64\certutil.exe' -store TrustedRoot
- '%WINDIR%\syswow64\findstr.exe' /i /c:"%TEMP%\server.crt"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy Bypass -Command "Import-Certificate -FilePath '%TEMP%\server.crt' -CertStoreLocation 'Cert:\LocalMachine\Root' -ErrorAction SilentlyContinue"
- '%WINDIR%\syswow64\findstr.exe' /C:"43.205.145.89 keyauth.win" "<DRIVERS>\etc\hosts"
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\cmd.exe' /c certutil -hashfile "%WINDIR%\explorer.exe" MD5 | find /i /v "md5" | find /i /v "certutil"
- '<SYSTEM32>\certutil.exe' -hashfile "%WINDIR%\explorer.exe" MD5
- '<SYSTEM32>\find.exe' /i /v "md5"
- '<SYSTEM32>\find.exe' /i /v "certutil"
