Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Initialize' = '%WINDIR%\SysWOW64\rundll32.exe /sta {A762B0C7-5244-4B3E-ADED-D549E9CEA39E} "C"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\rl.png
- %TEMP%\ixp000.tmp\bb.exe
- %TEMP%\ixp000.tmp\bb.png
- %LOCALAPPDATA%\microsoft\tapi32.dll
- %LOCALAPPDATA%\microsoft\data.png
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\bb.png
- %TEMP%\ixp000.tmp\bb.exe
- %TEMP%\ixp000.tmp\rl.png
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- '<LOCALNET>..30.6':200
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK lo##o33.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\bb.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c cd %LOCALAPPDATA%\Microsoft&&cmd /c reg.exe import data.png (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c reg.exe import data.png
- '%WINDIR%\syswow64\cmd.exe' /c cd %LOCALAPPDATA%\Microsoft&&cmd /c %WINDIR%\SysWOW64\rundll32.exe /sta {A762B0C7-5244-4B3E-ADED-D549E9CEA39E} "Keyboard" (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' import data.png
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\SysWOW64\rundll32.exe /sta {A762B0C7-5244-4B3E-ADED-D549E9CEA39E} "Keyboard"
- '%WINDIR%\syswow64\rundll32.exe' /sta {A762B0C7-5244-4B3E-ADED-D549E9CEA39E} "Keyboard"
