Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [\REGISTRY\USER\S-1-5-21-3691498038-2086406363-2140527554-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MaliciousScript' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\malware_clone.exe
- %HOMEPATH%\suspicious_file_0.txt
- %HOMEPATH%\suspicious_file_1.txt
- %HOMEPATH%\suspicious_file_2.txt
- %HOMEPATH%\suspicious_file_3.txt
- %HOMEPATH%\suspicious_file_4.txt
- %HOMEPATH%\suspicious_file_5.txt
- %HOMEPATH%\suspicious_file_6.txt
- %HOMEPATH%\suspicious_file_7.txt
- %HOMEPATH%\suspicious_file_8.txt
- %HOMEPATH%\suspicious_file_9.txt
- %HOMEPATH%\file_to_encrypt_0.txt
- %HOMEPATH%\file_to_encrypt_1.txt
- %HOMEPATH%\file_to_encrypt_2.txt
- %HOMEPATH%\file_to_encrypt_3.txt
- %HOMEPATH%\file_to_encrypt_4.txt
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'ex##ple.com':80
TCP
Запросы HTTP GET
- http://ex##ple.com/malicious_payload.exe
UDP
- DNS ASK ex##ple.com
