Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemUpdater' = '%APPDATA%\updater.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\startup_payload.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\updater.exe
Сетевая активность
Подключается к
- '<LOCALNET>..22.1':445
- '<LOCALNET>..22.25':445
- '<LOCALNET>..22.61':445
- '<LOCALNET>..22.85':445
- '<LOCALNET>..22.109':445
- '<LOCALNET>..22.133':445
- '<LOCALNET>..22.157':445
- '<LOCALNET>..22.13':445
- '<LOCALNET>..22.37':445
- '<LOCALNET>..22.49':445
- '<LOCALNET>..22.73':445
- '<LOCALNET>..22.97':445
- '<LOCALNET>..22.121':445
- '<LOCALNET>..22.145':445
- '<LOCALNET>..22.169':445
- '<LOCALNET>..22.2':445
- '<LOCALNET>..22.86':445
- '<LOCALNET>..22.62':445
- '<LOCALNET>..22.26':445
- '<LOCALNET>..22.110':445
- '<LOCALNET>..22.134':445
- '<LOCALNET>..22.158':445
- '<LOCALNET>..22.193':445
- '<LOCALNET>..22.217':445
- '<LOCALNET>..22.181':445
- '<LOCALNET>..22.205':445
- '<LOCALNET>..22.229':445
- '<LOCALNET>..22.14':445
- '<LOCALNET>..22.38':445
- '<LOCALNET>..22.50':445
- '<LOCALNET>..22.74':445
- '<LOCALNET>..22.98':445
- '<LOCALNET>..22.122':445
- '<LOCALNET>..22.146':445
- '<LOCALNET>..22.170':445
- '<LOCALNET>..22.87':445
- '<LOCALNET>..22.3':445
Другое
Запускает на исполнение
- '<SYSTEM32>\notepad.exe'
