Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'AutoStart' = 'rundll32.exe %ALLUSERSPROFILE%\Exchange.dll,Start'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\cmd.exe' /c start /b %ALLUSERSPROFILE%\tt.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Start-Process rundll32.exe %ALLUSERSPROFILE%\Exchange.dll,Start
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\exchange.dll
- %ALLUSERSPROFILE%\tt.bat
- %ALLUSERSPROFILE%\t.txt
Сетевая активность
UDP
- DNS ASK 00####################9167641343BC7A1D0000000000000E1h_ge94zP.googlechromeupdate.ga
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /K %ALLUSERSPROFILE%\tt.bat
- '<SYSTEM32>\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v AutoStart /t REG_SZ /d "rundll32.exe %ALLUSERSPROFILE%\Exchange.dll,Start"
- '<SYSTEM32>\rundll32.exe' %ALLUSERSPROFILE%\Exchange.dll Start
