Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'EvilProgram' = 'C:\path_to_this_program.exe'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\log\log.txt
- <Текущая директория>\recovered_payload\recovered_payload.exe
- <SYSTEM32>\hidden_malware_file.txt
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\hidden_malware_file.txt
Изменяет файл HOSTS.
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK google.com
- DNS ASK microsoft.com
- DNS ASK cl###flare.com
Другое
Ищет следующие окна
- ClassName: 'Button' WindowName: 'Start'
Создает и запускает на исполнение
- '<Текущая директория>\recovered_payload\recovered_payload.exe'
