Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ktmutil.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cab495e.tmp
- %WINDIR%\temp\tar495f.tmp
- %WINDIR%\temp\cab843e.tmp
- %WINDIR%\temp\tar844f.tmp
- %WINDIR%\temp\cabaeaa.tmp
- %WINDIR%\temp\taraeab.tmp
- %WINDIR%\temp\cabc6ec.tmp
- %WINDIR%\temp\tarc6ed.tmp
- %WINDIR%\temp\cabdc23.tmp
- %WINDIR%\temp\tardc24.tmp
Удаляет следующие файлы
- %WINDIR%\temp\cab495e.tmp
- %WINDIR%\temp\tar495f.tmp
- %WINDIR%\temp\cab843e.tmp
- %WINDIR%\temp\tar844f.tmp
- %WINDIR%\temp\cabaeaa.tmp
- %WINDIR%\temp\taraeab.tmp
- %WINDIR%\temp\cabc6ec.tmp
- %WINDIR%\temp\tarc6ed.tmp
- %WINDIR%\temp\cabdc23.tmp
- %WINDIR%\temp\tardc24.tmp
Сетевая активность
Подключается к
- 'google.com':80
- 'localhost':49180
- 'localhost':49182
- 'ra#.####ubusercontent.com':443
- 'localhost':49189
- 'localhost':49191
- 'bo####-valorant.lol':443
- 'localhost':49197
- 'localhost':49199
TCP
Другие
- 'localhost':49180
- 'localhost':49182
- 'localhost':49183
- 'ra#.####ubusercontent.com':443
- 'localhost':49189
- 'localhost':49191
- 'localhost':49192
- 'bo####-valorant.lol':443
- 'localhost':49197
- 'localhost':49199
- 'localhost':49200
UDP
- DNS ASK google.com
- DNS ASK ra#.####ubusercontent.com
- DNS ASK bo####-valorant.lol
Другое
Запускает на исполнение
- '<SYSTEM32>\ktmutil.exe'
