Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'H0W4x8sfAd' = '%APPDATA%\aabe\CHaym_vIZ49JmJ\H0W4x8sfAd.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\aabe\chaym_viz49jmj\h0w4x8sfad.txt
- %APPDATA%\aabe\chaym_viz49jmj\h0w4x8sfad.exe
- %APPDATA%\aabe\chaym_viz49jmj\simpropace.dll
- %LOCALAPPDATA%\178bfbff000306f2
- %APPDATA%\aabe\chaym_viz49jmj\key
Сетевая активность
Подключается к
- 'qa###awu.com':8080
- 'qa###awu.com':12345
TCP
Запросы HTTP GET
- http://qa####wu.com:8080/9x.dll via qa###awu.com
Другие
- 'qa###awu.com':12345
UDP
- DNS ASK qa###awu.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\aabe\chaym_viz49jmj\h0w4x8sfad.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' 45063C065A06530675066306740675065A0673067506630674065A0647067606760642066706720667065A065406690667066B066F06680661065A0667066706640663065A0645064E0667067F066B06590670064F065C0632063F064C066B064... (со скрытым окном)
