Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sys32hy.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\temp\amneziawg-amd64-1.0.0.msi
- %APPDATA%\temp\run.bat
- %APPDATA%\temp\run.vbs
- %APPDATA%\temp\sys32hy.exe
Удаляет следующие файлы
- %APPDATA%\temp\sys32hy.exe
- %APPDATA%\temp\run.vbs
Сетевая активность
Подключается к
- 'cr#.#ectigo.com':80
TCP
Запросы HTTP GET
- http://cr#.#ectigo.com/SectigoPublicCodeSigningRootR46.crl
- http://oc##.#ectigo.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBQVD%2BnGf79Hpedv3mhy6uKMVZkPCQQUDyrLIIcouOxvSK4rVKYpqhekzQwCEQDQRhtSn2cYnUN0Tpzv4XKu
- http://cr#.#ectigo.com/SectigoPublicCodeSigningCAR36.crl
UDP
- DNS ASK oc##.#ectigo.com
- DNS ASK cr#.#ectigo.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\Temp\run.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe' /i "%APPDATA%\Temp\amneziawg-amd64-1.0.0.msi"
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\Temp\run.bat" " (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C DEL "%APPDATA%\Temp\run.bat"
