Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'system32' = '%APPDATA%\system32\system32.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>\<Имя файла>.exe
- nul
- %APPDATA%\system32\system32.exe
- %APPDATA%\imminent\logs\02-07-2025
- %APPDATA%\imminent\path.dat
- %APPDATA%\imminent\monitoring\network.dat
- %APPDATA%\imminent\monitoring\system.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\<Имя файла>\<Имя файла>.exe
Самоудаляется.
Сетевая активность
Подключается к
- '20#.#54.213.157':64516
Другое
Создает и запускает на исполнение
- '%TEMP%\<Имя файла>\<Имя файла>.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.#.1.1 -n 1 -w 1000 > Nul & Del "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 1.#.1.1 -n 1 -w 1000
- '<SYSTEM32>\wbem\wmiapsrv.exe'
