Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'cvchost' = '%LOCALAPPDATA%\cvchost.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\cvchost.exe
- %WINDIR%\softwaredistribution\sls\9482f4b4-e343-43b6-b170-9a65bc822c77\sls.cab
- %WINDIR%\softwaredistribution\sls\9482f4b4-e343-43b6-b170-9a65bc822c77\tmpd419.tmp
- %WINDIR%\softwaredistribution\sls\855e8a7c-ecb4-4ca3-b045-1dfa50104289\sls.cab
- %WINDIR%\softwaredistribution\sls\855e8a7c-ecb4-4ca3-b045-1dfa50104289\tmpdb8c.tmp
- %WINDIR%\softwaredistribution\sls\8b24b027-1dee-babb-9a95-3517dfb9c552\sls.cab
- %WINDIR%\softwaredistribution\sls\8b24b027-1dee-babb-9a95-3517dfb9c552\tmpe3da.tmp
Сетевая активность
Подключается к
- '19#.#33.203.37':80
- 'th####kwwqlm.shop':443
- 'st####ommunity.com':443
- 'se####-esenin.com':443
TCP
Запросы HTTP GET
- http://19#.#33.203.37/cook/Eduxkwamadk.pdf
Другие
- 'th####kwwqlm.shop':443
- 'st####ommunity.com':443
- 'se####-esenin.com':443
UDP
- DNS ASK th####kwwqlm.shop
- DNS ASK settings-win.data.microsoft.com
- DNS ASK lo####dblsoqp.shop
- DNS ASK tr####iwnqo.shop
- DNS ASK co####qpwqm.shop
- DNS ASK ev####twoqm.shop
- DNS ASK mi####croqwp.shop
- DNS ASK st####chheiqwo.shop
- DNS ASK st####reewntnq.shop
- DNS ASK ca####clasiqwp.shop
- DNS ASK st####ommunity.com
- DNS ASK se####-esenin.com
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
