Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Laryngopharynx' = '%APPDATA%\Jiggety\Finansieringsselskabet.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\commorant.can
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\filoversigternes.txt
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\gnom.sin
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\forsidebilledet.ska
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\forureningsbegreb.afs
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\hust.chi
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\menneskekenderens.vak
- %APPDATA%\microsoft\windows\start menu\minderne\sideblikkes42\matroclinous\schlzjtter\unalert.top
- %TEMP%\nsa230b.tmp\system.dll
- %APPDATA%\jiggety\finansieringsselskabet.exe
Сетевая активность
Подключается к
- 'ap#.##edrive.com':443
TCP
Другие
- 'ap#.##edrive.com':443
UDP
- DNS ASK ap#.##edrive.com
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
