Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WUstrlenn' = '%ProgramFiles%\MSXML 3.99\XmoeingcomG.exe'
Вредоносные функции
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\worng.txt
- C:\88.txt
- %ProgramFiles%\msxml 3.99\xmoeingcomg.exe
- %APPDATA%\26c4f786.bat
Сетевая активность
Подключается к
- '47.##3.246.129':1031
- 'ne#.##inan66.top':10086
TCP
Запросы HTTP GET
- http://47.###.246.129:1031/125.txt via 47.##3.246.129
Другие
- 'ne#.##inan66.top':10086
UDP
- DNS ASK ne#.##inan66.top
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\26C4F786.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' C:\88.txt
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\26C4F786.bat
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\find.exe' /i "<Имя файла>.exe"
