Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\zamain.vbs
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3928-4256-<Имя файла>.exe-13-17-38-328.dump
- %TEMP%\content\3928-4256-<Имя файла>.exe-13-17-39-610.dump
- %TEMP%\content\3928-4256-<Имя файла>.exe-13-17-42-939.dump
- %TEMP%\content\3928-4256-<Имя файла>.exe-13-17-43-227.dump
- %TEMP%\zamain.exe
Сетевая активность
Подключается к
- 'ap#.#pify.org':443
- '19#.#32.210.172':80
- 'ap#.##legram.org':443
- '80.##0.113.62':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?a3##############
Другие
- 'ap#.#pify.org':443
- 'ap#.##legram.org':443
UDP
- DNS ASK ap#.#pify.org
- DNS ASK ap#.##legram.org
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -enc QQBkAGQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEMAOgBcAGEAYgBsAHEAagBcAHYAdwByAGIAaAAuAGUAeABlADsAIABBAGQAZAAtAE0AcABQAHIAZQBmAGUAcgBlAG4AYwBlACAALQBF... (со скрытым окном)
