Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\software\microsoft\windows\currentversion\run] 'IntelPowerAgent7' = 'rundll32.exe shell32.dll, ShellExec_RunDLL C:\PROGRA~3\DJ468F~1.EXE'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
- %WINDIR%\syswow64\cmd.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\dj468f2h4h.exe
- %LOCALAPPDATA%\fip3246.tmp.bat
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK bl####idomen.com
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%LOCALAPPDATA%\fip3246.tmp.bat" "<Полный путь к файлу>"" (со скрытым окном)
