Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'EjrQcY2' = '%APPDATA%\bi\81pX7_3lTQ4V\EjrQcY2.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\bi\81px7_3ltq4v\ejrqcy2.txt
- %APPDATA%\bi\81px7_3ltq4v\ejrqcy2.exe
- %APPDATA%\bi\81px7_3ltq4v\cscomp.dll
- %LOCALAPPDATA%\178bfbff00050657
- %APPDATA%\bi\81px7_3ltq4v\key
Сетевая активность
Подключается к
- '15#.#2.93.150':8080
- '15#.#2.93.150':12345
TCP
Запросы HTTP GET
- http://15#.##.93.150:8080/9x.dll via 15#.#2.93.150
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\bi\81px7_3ltq4v\ejrqcy2.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' 43003A005C00550073006500720073005C0075007300650072005C0041007000700044006100740061005C0052006F0061006D0069006E0067005C00620069005C00380031007000580037005F0033006C0054005100340056005C0045006A007... (со скрытым окном)
