Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RegAsm' = '%APPDATA%\RegAsm.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\codiumcompany
- %APPDATA%\microsoft\windows\start menu\programs\startup\regasm.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\2192-2960-<Имя файла>.exe-06-35-42-865.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- %APPDATA%\regasm.exe
Сетевая активность
Подключается к
- 'pr######-gourmet.at.ply.gg':51618
TCP
Другие
- '15#.#01.1.91':443
- 'pr######-gourmet.at.ply.gg':51618
UDP
- DNS ASK pr######-gourmet.at.ply.gg
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
