Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %HOMEPATH%\UpdateCenter.exe'
- [HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %HOMEPATH%\UpdateCenter.exe'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\<Имя файла>.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\<Имя файла>.exe
Перемещает следующие файлы
- %HOMEPATH%\<Имя файла>.exe в %HOMEPATH%\updatecenter.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'ip###ger.org':443
- 'si####es.kl.com.ua':80
- 'po###.kl.com.ua':80
TCP
Запросы HTTP GET
- http://si####es.kl.com.ua/65421.exe
- http://po###.kl.com.ua/Build.exe
Другие
- 'ip###ger.org':443
UDP
- DNS ASK ip###ger.org
- DNS ASK si####es.kl.com.ua
- DNS ASK po###.kl.com.ua
- DNS ASK be####5d.beget.tech
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C choice /C Y /N /D Y /T 3 & Del <Полный путь к файлу> (со скрытым окном)
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3
