Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\qaemzj] 'ImagePath' = '%TEMP%\f26d4b4200bff6dd40800f4bfd0df4d8\<Имя файла>.sys'
- [HKLM\System\CurrentControlSet\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}] 'Start' = '00000000'
- [HKLM\System\CurrentControlSet\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}] 'ImagePath' = 'system32\drivers\Wdf84167.sys'
Создает следующие сервисы
- 'qaemzj' %TEMP%\f26d4b4200bff6dd40800f4bfd0df4d8\<Имя файла>.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f26d4b4200bff6dd40800f4bfd0df4d8\<Имя файла>.sys
Сетевая активность
Подключается к
- 'ip###ger.org':443
- 's1.##tocz.com':80
- 's2.##tocz.com':80
- 's1.##cmv.com':80
TCP
Запросы HTTP POST
- http://s1.##tocz.com/00mzszaztzzv0
- http://s1.##cmv.com/00mzszaztzzv0
- http://s1.##cmv.com/7zzbff1ea
Другие
- 'ip###ger.org':443
UDP
- DNS ASK ip###ger.org
- DNS ASK s1.##tocz.com
- DNS ASK s2.##tocz.com
- DNS ASK s1.##cmv.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' (со скрытым окном)
