Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
следующие пользовательские процессы:
- launcher.exe
Создает onion-сервис
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\tor\state.tmp
- %APPDATA%\tor\hidden_service\private_key.tmp
- %APPDATA%\tor\hidden_service\hostname.tmp
- %APPDATA%\beloy\itave.exe
- %TEMP%\opencl.dll
Перемещает следующие файлы
- %APPDATA%\tor\state.tmp в %APPDATA%\tor\state
- %APPDATA%\tor\hidden_service\private_key.tmp в %APPDATA%\tor\hidden_service\private_key
- %APPDATA%\tor\hidden_service\hostname.tmp в %APPDATA%\tor\hidden_service\hostname
Сетевая активность
Подключается к
- 'localhost':49179
- '17#.#5.193.9':80
- 'localhost':9050
TCP
Другие
- 'localhost':9050
- 'localhost':49183
- 'localhost':49182
- 'localhost':49184
UDP
- DNS ASK ch####p.dyndns.org
Другое
Создает и запускает на исполнение
- '%APPDATA%\beloy\itave.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%ProgramFiles(x86)%\opera\launcher.exe' ext "<Полный путь к файлу>" (со скрытым окном)
- '%ProgramFiles(x86)%\opera\launcher.exe' "ext" "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\svchost.exe' ext "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\svchost.exe' --HiddenServiceDir "%APPDATA%\tor\hidden_service" --HiddenServicePort "55080 127.0.0.1:55080" (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
