Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32.dll,-1'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Сетевая активность:
Подключается к:
- '88.##8.69.43':80
- 'xv##jm.com':443
- 'ci##vq.com':443
- 'fg##ee.com':443
- 'ym##cq.com':443
- 'qh##fw.com':443
- 'cn####xt.f3322.org':8080
- 'il#.#renz.pl':80
- 'gq##ej.com':443
- 'yc##hs.com':443
- 'an#.#renz.pl':80
UDP:
- DNS ASK fg##ee.com
- DNS ASK ym##cq.com
- DNS ASK ci##vq.com
- DNS ASK ie##un.com
- DNS ASK eq##rp.com
- DNS ASK am##iu.com
- DNS ASK xv##jm.com
- DNS ASK gq##ej.com
- DNS ASK cn####xt.f3322.org
- DNS ASK il#.#renz.pl
- DNS ASK qh##fw.com
- DNS ASK yc##hs.com
- DNS ASK an#.#renz.pl
