Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\hezron.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [HKCU\Software\FTPWare\COREFTP\Sites\]
- [HKCU\Software\Martin Prikryl\WinSCP 2\Sessions\]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %APPDATA%\opera software\opera stable\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\login data
- %LOCALAPPDATA%\microsoft\edge\user data\default\web data
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut4002.tmp
- %TEMP%\atule
- %TEMP%\aut4236.tmp
- %TEMP%\sancha
- %LOCALAPPDATA%\mazateco\hezron.exe
- %TEMP%\aut462c.tmp
- %TEMP%\aut4821.tmp
- %APPDATA%\microsoft\windows\templates\udrlpop-user\logindata
- %APPDATA%\microsoft\windows\templates\udrlpop-user\webdata
Удаляет файлы, которые сам же создал
- %TEMP%\aut4002.tmp
- %TEMP%\aut4236.tmp
- %TEMP%\aut462c.tmp
- %TEMP%\aut4821.tmp
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\mazateco\hezron.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
