Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'orderspromptservice' = '%ALLUSERSPROFILE%\orderspromptservice\orderspromptservice.exe'
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: 'OllyDBg'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\orderspromptservice\orderspromptservice.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\orderspromptservice\orderspromptservice.exe
Сетевая активность
UDP
- DNS ASK se#######ersservice.ddns.net
Другое
Ищет следующие окна
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'ObsidianGUI' WindowName: ''
- ClassName: 'ID' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\orderspromptservice\orderspromptservice.exe'
- '%ALLUSERSPROFILE%\orderspromptservice\orderspromptservice.exe' 2788
