Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'gqBOn' = '%APPDATA%\aokhn\iOBYrPw_G63nT\gqBOn.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\aokhn\iobyrpw_g63nt\gqbon.exe
- %APPDATA%\aokhn\iobyrpw_g63nt\microsoft.windowsappruntime.bootstrap.dll
- %APPDATA%\aokhn\iobyrpw_g63nt\gqbon.txt
- %LOCALAPPDATA%\178bfbff000406f1
- %APPDATA%\aokhn\iobyrpw_g63nt\key
Сетевая активность
Подключается к
- '15#.#9.238.102':8080
- '15#.#9.238.102':12345
TCP
Запросы HTTP GET
- http://15#.##.238.102:8080/9x.dll via 15#.#9.238.102
Другие
- '15#.#9.238.102':12345
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\aokhn\iobyrpw_g63nt\gqbon.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' 410238025E02570271026702700271025E0277027102670270025E0243027202720246026302760263025E0250026D0263026F026B026C0265025E0263026D0269026A026C025E026B024D0240025B027002520275025D024502340231026C025... (со скрытым окном)
