Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Firefox' = '"%LOCALAPPDATA%\Firefox.exe"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'LAN Subsystem' = '%ProgramFiles(x86)%\LAN Subsystem\lanss.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- <Имя файла>.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\firefox.exe
- %TEMP%\<Имя файла>.exe
- %APPDATA%\0cb67e2f-dc95-45ca-8fb8-69bde8e3f814\run.dat
- %ProgramFiles(x86)%\lan subsystem\lanss.exe
Сетевая активность
Подключается к
- 'am####.duckdns.org':4190
UDP
- DNS ASK dn#.google
- DNS ASK am####.duckdns.org
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Test-Connection 8.#.8.8 (со скрытым окном)
