Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RegSvcs' = '%APPDATA%\RegSvcs.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\autcc78.tmp
- %TEMP%\vaccinators
- %TEMP%\autd0ce.tmp
- %TEMP%\konked
- %APPDATA%\regsvcs.exe
- %TEMP%\aba125d284820b765b59217a34bd84ff\chromium_cookies_umwjzqfaaucl_2025-10-17_15.49.43.json
- %TEMP%\aba125d284820b765b59217a34bd84ff\gecko_cookies_umwjzqfaaucl_2025-10-17_15.49.55.json
Удаляет файлы, которые сам же создал
- %TEMP%\autcc78.tmp
- %TEMP%\autd0ce.tmp
- %TEMP%\aba125d284820b765b59217a34bd84ff\chromium_cookies_umwjzqfaaucl_2025-10-17_15.49.43.json
- %TEMP%\aba125d284820b765b59217a34bd84ff\gecko_cookies_umwjzqfaaucl_2025-10-17_15.49.55.json
Сетевая активность
Подключается к
- 'ap#.##legram.org':443
- 'ic###azip.com':80
TCP
Запросы HTTP GET
- http://ic###azip.com/
Другие
- 'ap#.##legram.org':443
UDP
- DNS ASK ap#.##legram.org
- DNS ASK ic###azip.com
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
