Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'e80a460add2c1ef985ccca5b2e40b6d0' = '"%TEMP%\美制å¤ç¾Žç¾Ž.exe" ..'
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] 'e80a460add2c1ef985ccca5b2e40b6d0' = '"%TEMP%\美制å¤ç¾Žç¾Ž.exe" ..'
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\ç¾ŽГҐˆВ¶ГҐВ¤ВЌГ§ВѕŽГ§ВѕŽ.exe" "ç¾ŽГҐˆВ¶ГҐВ¤ВЌГ§ВѕŽГ§ВѕŽ.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ç¾žГҐˆВ¶ГҐВ¤ВЌГ§ВѕžГ§Вѕž.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Сетевая активность
UDP
- DNS ASK ab####305.ddns.net
Другое
Создает и запускает на исполнение
- '%TEMP%\ç¾žГҐˆВ¶ГҐВ¤ВЌГ§ВѕžГ§Вѕž.exe'
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\ç¾ŽГҐˆВ¶ГҐВ¤ВЌГ§ВѕŽГ§ВѕŽ.exe" "ç¾ŽГҐˆВ¶ГҐВ¤ВЌГ§ВѕŽГ§ВѕŽ.exe" ENABLE (со скрытым окном)
