Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'winlogoc' = '%APPDATA%\winlogoc.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\winlogoc
- %APPDATA%\microsoft\windows\start menu\programs\startup\winlogoc.lnk
Вредоносные функции
Создает и запускает на исполнение
- '%APPDATA%\sys32.exe'
- '%APPDATA%\winlogoc.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\sys32.exe
- %APPDATA%\winlogoc.exe
Сетевая активность
UDP
- DNS ASK bb#####yhus.oogugy.com
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /RL HIGHEST /sc minute /mo 1 /tn "winlogoc" /tr "%APPDATA%\winlogoc.exe" (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {1BF3687B-83B7-479D-A84D-F7A85BA125E8} S-1-5-21-3691498038-2086406363-2140527554-1000:vjvihyimhgqx\user:Interactive:[1]
- '%APPDATA%\winlogoc.exe' (со скрытым окном)
