Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wnbuxg.exe' = '%APPDATA%\zvasla\wnbuxg.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wcfkvx.exe' = '%APPDATA%\zvasla\\wcfkvx.exe'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\zvasla\wnbuxg.exe' = '%APPDATA%\zvasla\wnbuxg.exe:*:Enable...
Внедряет код в
следующие пользовательские процессы:
- wnbuxg.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\zvasla\wnbuxg.exe
- %APPDATA%\zvasla\wnbuxg.exe.manifest
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK pr#####-loads1337.biz
Другое
Создает и запускает на исполнение
- '%APPDATA%\zvasla\wnbuxg.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%APPDATA%\zvasla\wnbuxg.exe' (со скрытым окном)
