Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Classes\discord-1210909836288729099\shell\open\command] '' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "Add-MpPreference -ExclusionPath 'C:\Users\Public\AJ_Stuff\AJ Premium Proxy.exe'"
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\cabae29.tmp
- %WINDIR%\temp\tarae2a.tmp
- %WINDIR%\temp\cabe8e9.tmp
- %WINDIR%\temp\tare8ea.tmp
- %WINDIR%\temp\cab6ba2.tmp
- %WINDIR%\temp\tar6c1f.tmp
- C:\users\public\aj_stuff\aj premium proxy.exe
- <Текущая директория>\aj premium proxy.lnk
Удаляет следующие файлы
- %WINDIR%\temp\cabae29.tmp
- %WINDIR%\temp\tarae2a.tmp
- %WINDIR%\temp\cabe8e9.tmp
- %WINDIR%\temp\tare8ea.tmp
- %WINDIR%\temp\cab6ba2.tmp
- %WINDIR%\temp\tar6c1f.tmp
Сетевая активность
Подключается к
- 'localhost':49179
- 'localhost':49181
- 'ra#.####ubusercontent.com':443
- 'localhost':49189
- 'localhost':49191
- 'ke##uth.win':443
TCP
Другие
- 'localhost':49179
- 'localhost':49181
- 'localhost':49182
- 'ra#.####ubusercontent.com':443
- 'localhost':49189
- 'localhost':49191
- 'localhost':49192
- 'ke##uth.win':443
UDP
- DNS ASK ra#.####ubusercontent.com
- DNS ASK cr#.#omodo.net
- DNS ASK ke##uth.win
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c color b
- '<SYSTEM32>\cmd.exe' /c powershell "Add-MpPreference -ExclusionPath 'C:\Users\Public\AJ_Stuff\AJ Premium Proxy.exe'"
