Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\runas.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\lummac2govno.rar
- %TEMP%\qatarlib\aforge.video.directshow.dll
- %TEMP%\qatarlib\aforge.video.dll
- %TEMP%\qatarlib\dotnetzip.dll
- %TEMP%\qatarlib\sharpdx.direct3d9.dll
- %TEMP%\qatarlib\sharpdx.direct3d11.dll
- %TEMP%\qatarlib\sharpdx.dll
- %TEMP%\qatarlib\sharpdx.dxgi.dll
Удаляет файлы, которые сам же создал
- %TEMP%\lummac2govno.rar
Сетевая активность
Подключается к
- 'ip##fo.io':443
- '45.##0.34.111':3333
TCP
Другие
- 'ip##fo.io':443
UDP
- DNS ASK ip##fo.io
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'SunAwtFrame' WindowName: ''
- ClassName: 'IMDBG_CLASS' WindowName: ''
- ClassName: 'HxD' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\runas.exe'
