Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ktmutil.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\ntos
- %ALLUSERSPROFILE%\cdat.bin3041
Сетевая активность
Подключается к
- 'wa###art.mom':443
- 'google.com':80
- 'localhost':49697
- 'localhost':49702
- 'localhost':49707
- 'localhost':49712
- 'localhost':49718
- 'localhost':49722
- 'localhost':49726
- 'localhost':49730
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?7f##############
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?1c##############
Другие
- 'wa###art.mom':443
- 'localhost':49697
- 'localhost':49698
- 'localhost':49702
- 'localhost':49703
- 'localhost':49707
- 'localhost':49708
- 'localhost':49712
- 'localhost':49713
- 'localhost':49718
- 'localhost':49719
- 'localhost':49722
- 'localhost':49723
- 'localhost':49726
- 'localhost':49727
- 'localhost':49730
- 'localhost':49731
UDP
- DNS ASK wa###art.mom
- DNS ASK google.com
Другое
Запускает на исполнение
- '<SYSTEM32>\ktmutil.exe'
- '<SYSTEM32>\cmd.exe' dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj > %ALLUSERSPROFILE%\ADat.bin3041
- '<SYSTEM32>\cmd.exe' dir /a /s /b C:\*imgui_impl_win32.cpp C:\*.suo C:\*.exe C:\*.vcxproj > %ALLUSERSPROFILE%\CDat.bin3041
