Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\microsoft windows mail
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\dllhost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\xxemulator.exe
- %TEMP%\vulkan-1.dll
- %TEMP%\mimidump.bin
Перемещает следующие файлы
- %TEMP%\xxemulator.exe в %ProgramFiles%\windows mail\xxemulator.exe
- %TEMP%\vulkan-1.dll в %ProgramFiles%\windows mail\vulkan-1.dll
- %TEMP%\mimidump.bin в %ProgramFiles%\windows mail\mimidump.bin
Самоудаляется.
Сетевая активность
Подключается к
- 'ba##u.com':80
- '18.##7.194.61':80
TCP
Другие
- 'ba##u.com':80
- '18.##7.194.61':80
UDP
- DNS ASK ba##u.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\xxemulator.exe'
- '%ProgramFiles%\windows mail\xxemulator.exe' -svc
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -Install (со скрытым окном)
- '<SYSTEM32>\svchost.exe' -k netsvcs (со скрытым окном)
- '%TEMP%\xxemulator.exe' (со скрытым окном)
- '%ProgramFiles%\windows mail\xxemulator.exe' -svc (со скрытым окном)
