Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'KluxRkbhlf' = '%APPDATA%\cidlhkrqog\kluxrkbhlf.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\rundll32.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\tkjdywhket.exe
- nul
- %APPDATA%\cidlhkrqog\kluxrkbhlf.exe
- %ALLUSERSPROFILE%\qdnmmmhp.log
- %LOCALAPPDATA%\dcfooxdo.log
Сетевая активность
Подключается к
- 'ba##u.com':80
- 'oy###ollxvy.eu':8001
- 'mv#####niyvmyrco.click':8001
UDP
- DNS ASK ba##u.com
- DNS ASK go####qfqq.click
- DNS ASK pv####qgcwpocx.bid
- DNS ASK oy###ollxvy.eu
- DNS ASK dt#####eyygaxa.click
- DNS ASK yp####gcwfnbxa.bid
- DNS ASK dw####yvwltmcvy.eu
- DNS ASK jd###uyh.click
- DNS ASK tw###dit.bid
- DNS ASK be##xfkc.eu
- DNS ASK vl####ubfvg.click
- DNS ASK sj####aosebwcq.bid
- DNS ASK sc##uwau.eu
- DNS ASK mv#####niyvmyrco.click
Другое
Создает и запускает на исполнение
- '%APPDATA%\tkjdywhket.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.#.1.1 -n 1 -w 5000 > Nul & Del "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 1.#.1.1 -n 1 -w 5000
- '%WINDIR%\syswow64\rundll32.exe'
- '%WINDIR%\syswow64\cmd.exe' /C ping 1.#.1.1 -n 1 -w 5000 > Nul & Del "%APPDATA%\tkjdywhket.exe" (со скрытым окном)
