Техническая информация
Вредоносные функции
Запускает большое число процессов
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\espltssaoe.exe
- <Полный путь к файлу>.lnk
- %WINDIR%\wj.txt
Удаляет следующие файлы
- %WINDIR%\wj.txt
Самоудаляется.
Сетевая активность
Подключается к
- '12#.#21.75.89':2630
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\espltssaoe.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f
- '%WINDIR%\syswow64\schtasks.exe' /query /tn "\Microsoft\MicrosoftEdgeUpdateTaskMachineUA{CAF9F831-27F0-45AC-A5C4-C9EF8688F580}" /fo LIST /v (со скрытым окном)
