Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\aybqhg] 'ImagePath' = '<PATH_SAMPLE>.sys'
- [HKLM\System\CurrentControlSet\Services\aybqhg] 'Start' = '00000001'
Создает следующие сервисы
- 'aybqhg' <PATH_SAMPLE>.sys
Вредоносные функции
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- Изменяет DNS-сервер на '114.114.114.114'
- Изменяет DNS-сервер на '<DNS_SERVER>'
Сетевая активность
Подключается к
- '10#.#01.172.229':80
- 'ka####.360kemon.com':8080
- '22#.#9.68.50':80
- '1.##4.187.4':80
- '58.##3.140.96':80
- '61.##3.70.228':80
UDP
- DNS ASK ba##u.com
- DNS ASK os#.##iyungx.com
- DNS ASK ht##.##crosoftcs.com
- DNS ASK ht###.#ernel-sys.com
- DNS ASK ka####.360kemon.com
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
