Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\systray.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3gkxvrby9nibtpbdxdx
- %TEMP%\nsv9702.tmp\omlyxkllsve.dll
Сетевая активность
Подключается к
- 'fo##ser.com':80
- 'fa###eug.media':80
- 'ho####helden.com':80
- 'sa###ch9.com':80
- 'da###abe.com':80
TCP
Запросы HTTP GET
- http://www.fo##ser.com/znhk/?S2##########################################################################################
- http://www.fa###eug.media/znhk/?S2##########################################################################################
- http://www.ho####helden.com/znhk/?1b##########################################################################################
- http://www.sa###ch9.com/znhk/?S2##########################################################################################
- http://www.da###abe.com/znhk/?1b##########################################################################################
UDP
- DNS ASK my####nicalhome.com
- DNS ASK ne###ber.cloud
- DNS ASK pa####e-help.net
- DNS ASK fo##ser.com
- DNS ASK li######ammoneymachine.com
- DNS ASK ho#####litysupply.xyz
- DNS ASK di###estr.net
- DNS ASK fa###eug.media
- DNS ASK ho####helden.com
- DNS ASK sm#####othrental.com
- DNS ASK ma####iccalella.com
- DNS ASK sa###ch9.com
- DNS ASK up##oad.com
- DNS ASK da###abe.com
- DNS ASK im####nstylish.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\systray.exe'
- '%WINDIR%\syswow64\cmd.exe' del "<Полный путь к файлу>"
