Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*Mouhn' = 'rundll32.exe %APPDATA%\Lopeunt.dll,EntryPoint'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\regsvr32.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\lopeunt.dll
Сетевая активность
Подключается к
- '19#.#42.146.21':2404
- 'ge###ugin.net':80
TCP
Запросы HTTP GET
- http://ge###ugin.net/json.gp
Другие
- '19#.#42.146.21':2404
UDP
- DNS ASK ge###ugin.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe'
- '%WINDIR%\syswow64\cmd.exe' /C reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "*Mouhn" /t REG_SZ /d "rundll32.exe %APPDATA%\Lopeunt.dll",EntryPoint /f & exit
- '%WINDIR%\syswow64\reg.exe' add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "*Mouhn" /t REG_SZ /d "rundll32.exe %APPDATA%\Lopeunt.dll",EntryPoint /f
