Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] '0m66V4W0j' = '%APPDATA%\Bons\i83P8b_v2ysvcQ\0m66V4W0j.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\bons\i83p8b_v2ysvcq\0m66v4w0j.txt
- %APPDATA%\bons\i83p8b_v2ysvcq\0m66v4w0j.exe
- %APPDATA%\bons\i83p8b_v2ysvcq\log.dll
- %LOCALAPPDATA%\1fcbfbff000606a6
- %APPDATA%\bons\i83p8b_v2ysvcq\key
Сетевая активность
Подключается к
- '23.##6.57.49':8080
- '23.##6.57.49':12345
TCP
Запросы HTTP GET
- http://23.###.57.49:8080/9x.dll via 23.##6.57.49
Другие
- '23.##6.57.49':12345
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\bons\i83p8b_v2ysvcq\0m66v4w0j.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' 45063C065A06530675066306740675065A0673067506630674065A0647067606760642066706720667065A065406690667066B066F06680661065A0644066906680675065A066F063E06350656063E0664065906700634067F067506700665065... (со скрытым окном)
