Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'faka' = '%APPDATA%\kdbaf\faka.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- uugjx.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-01-14-635.dump
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-01-17-074.dump
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-01-17-112.dump
- %TEMP%\uugjx.exe
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-01-55-211.dump
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-01-56-363.dump
- %TEMP%\content\3456-1088-uugjx.exe-03-01-59-298.dump
- %TEMP%\content\3456-1088-uugjx.exe-03-02-01-588.dump
- %TEMP%\content\3456-1088-uugjx.exe-03-02-01-714.dump
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-02-02-954.dump
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-02-03-063.dump
- %TEMP%\content\1320-3752-<Имя файла>.exe-03-02-03-130.dump
- %APPDATA%\kdbaf\faka.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\uugjx.exe.log
- %TEMP%\content\3656-60-uugjx.exe-03-02-37-368.dump
- %TEMP%\content\3656-60-uugjx.exe-03-02-38-383.dump
- %TEMP%\content\3656-60-uugjx.exe-03-02-38-445.dump
- %TEMP%\content\3656-60-uugjx.exe-03-02-38-458.dump
Сетевая активность
Подключается к
- 've#####leansecurity.com':80
TCP
Запросы HTTP GET
- http://ve#####leansecurity.com/seven/Hmrbc.vdf
- http://ve#####leansecurity.com/seven/Vaszt.mp4
UDP
- DNS ASK ve#####leansecurity.com
Другое
Создает и запускает на исполнение
- '%TEMP%\uugjx.exe'
