Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\xowatcher
- %WINDIR%\tasks\securitycomv4.job
- <SYSTEM32>\tasks\securitycomv4
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\netsh.exe
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\a4bdf51f
- %TEMP%\a505a7b7
- %APPDATA%\wmx_launch_x64\xowatcher.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_d99ef00b-ccd3-4f1d-9980-90ac453b0b47
- %TEMP%\kgthaeuggii
Сетевая активность
Подключается к
- 'be#######ssgymintheworld.com':80
TCP
Запросы HTTP POST
- http://be#######ssgymintheworld.com/8BvxwQdec3/index.php
UDP
- DNS ASK be#######ssgymintheworld.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe'
- '%WINDIR%\syswow64\explorer.exe'
- '<SYSTEM32>\taskeng.exe' {785A8AD5-A98F-462C-8116-EA63CD7A50D2} S-1-5-21-3150914307-1777937420-491476919-1000:mrtsib\user:Interactive:[1]
