Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\yhabldknt] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\yhabldknt] 'ImagePath' = '<SYSTEM32>\financial.exe yhabldknt'
Создает следующие сервисы
- 'yhabldknt' <SYSTEM32>\financial.exe yhabldknt
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\financial.exe
Самоперемещается
- из <Полный путь к файлу> в <SYSTEM32>\wostmp\_761343986_109220954
Сетевая активность
UDP
- '1.###.248.27':27930
- '11#.#19.252.204':27930
- '12#.#8.33.17':27930
- '12#.#47.83.95':27930
- '12#.#60.58.206':27930
- '16#.#94.189.141':27930
- '18#.#1.168.237':27930
- '18#.#2.131.182':27930
- '18#.#2.112.114':27930
- '18#.#8.218.133':27930
- '11#.#8.238.194':27930
- '11#.#3.15.166':27930
- '19#.#5.222.155':27930
- '20#.#35.34.69':27930
- '21#.#48.16.76':27930
- '21#.#14.186.42':27930
- '20#.#5.94.34':27930
- '20#.#92.250.99':27930
- '18#.#79.69.246':27930
- '18#.#3.219.53':27930
- '18#.#0.15.66':27930
- '12#.#01.1.100':27930
- '19#.#51.12.63':27930
- '20#.71.0.93':27930
- '11#.#93.17.179':27930
- '10#.#4.137.178':27930
- '91.#87.99.3':27930
- '14.#92.2.37':27930
- '<LOCALNET>.56.1':27930
- '<LOCALNET>.56.2':27930
- '<LOCALNET>.56.3':27930
- '<LOCALNET>.56.4':27930
- '<LOCALNET>.56.5':27930
- '10.#8.1.55':27930
- '10#.#1.194.192':16800
- '<LOCALNET>.56.6':27930
- '10.#0.0.61':27930
- '<LOCALNET>.56.0':27930
- '10.#0.0.73':27930
- '10#.#16.52.20':27930
- '11#.#10.212.150':27930
- '12#.#60.154.252':27930
- '18#.#8.212.176':27930
- '18#.#1.63.214':27930
- '22#.#1.122.230':27930
- '58.##.147.71':27930
- '59.##.201.97':27930
- '61.##4.50.237':27930
- '82.##.198.189':27930
- '10.#0.20.67':27930
- '12#.#0.210.96':27930
- '12#.#54.56.108':27930
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\financial.exe' yhabldknt
