Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%TEMP%\aedmhwoiacqa.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %TEMP%\aedmhwoiacqa.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aedmhwoiacqa.sys
Сетевая активность
Подключается к
- 'us.##pool.com':13333
- 'pa###bin.com':443
- 'pa####.paulmaney.info':4521
TCP
Другие
- 'us.##pool.com':13333
- 'pa###bin.com':443
UDP
- DNS ASK us.##pool.com
- DNS ASK pa###bin.com
- DNS ASK pa####.paulmaney.info
- DNS ASK pa####.danzimmer.space
Другое
Запускает на исполнение
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-ac 0
- '<SYSTEM32>\powercfg.exe' /x -hibernate-timeout-dc 0
- '<SYSTEM32>\powercfg.exe' /x -standby-timeout-dc 0
- '<SYSTEM32>\svchost.exe'
