Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = ' '
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\6ad8e7a1] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\6ad8e7a1] 'ImagePath' = '"<SYSTEM32>\rundll32.exe" "%ProgramFiles(x86)%\PragmaMonitor\PragmaMonitor.dll",serv'
Создает следующие сервисы
- '6ad8e7a1' <SYSTEM32> undll32.exe" "%ProgramFiles(x86)%\PragmaMonitor\PragmaMonitor.dll",ser
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tf00294823.dll
- %ProgramFiles(x86)%\pragmamonitor\pragmamonitor.dll
Удаляет следующие файлы
- %TEMP%\tf00294823.dll
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'bb#.com':80
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK bb#.com
- DNS ASK te###ne.info
- DNS ASK te##ine.net
- DNS ASK fa###rygood.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "%ProgramFiles(x86)%\PragmaMonitor\PragmaMonitor.dll",serv -install
- '<SYSTEM32>\rundll32.exe' "%ProgramFiles(x86)%\PragmaMonitor\PragmaMonitor.dll",serv
