Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Main Service] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Main Service] 'ImagePath' = '%ProgramFiles(x86)%\MachinerData\<Имя файла>.exe 1'
Создает следующие сервисы
- 'Main Service' %ProgramFiles(x86)%\MachinerData\<Имя файла>.exe 1
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\machinerdata\<Имя файла>.exe
Сетевая активность
UDP
- DNS ASK in#####tourflash.info
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\machinerdata\<Имя файла>.exe' 1
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ping 127.0.0.1 /n 300 & "<Полный путь к файлу>" 6 (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C ping 127.0.0.1 -n 100 & "<Полный путь к файлу>" 5 (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C ping 127.0.0.1 & "<Полный путь к файлу>" 4 (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 /n 300
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 100
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1
