Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'PUT2VIDQLG' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- %WINDIR%\tasks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job
- <SYSTEM32>\tasks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
Сетевая активность
Подключается к
- 'fl###kes.com':80
- '16#.#7.109.226':80
TCP
Запросы HTTP POST
- http://fl###kes.com/borders.php
UDP
- DNS ASK da###own.com
- DNS ASK au###sun.com
- DNS ASK fl###kes.com
- DNS ASK fo###oss.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' (со скрытым окном)
