Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows update 6ae8eedc
- <SYSTEM32>\tasks\windows update c0fa1b98
- <SYSTEM32>\tasks\windows update 7e71d810
- <SYSTEM32>\tasks\windows update d5098d1a
- <SYSTEM32>\tasks\windows update 8dfadab4
Вредоносные функции
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %ALLUSERSPROFILE%\23284d7c13c9\202b4e7f10ca.dat
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\app_c4445cd8.exe
- %TEMP%\d44e.tmp
- %ALLUSERSPROFILE%\23284d7c13c9\202b4e7f10ca.dat
Удаляет файлы, которые сам же создал
- %TEMP%\app_c4445cd8.exe
- %TEMP%\nljmeijmkcfjmkck
Перемещает следующие файлы
- %TEMP%\d44e.tmp в %TEMP%\nljmeijmkcfjmkck
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
- 'na####in.cyphrs.com':443
- '18#.#65.200.156':53
- '91.##7.137.37':53
- '21#.#2.210.54':53
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
- DNS ASK na####in.cyphrs.com
- DNS ASK st#####unter-4-1.bit
Другое
Ищет следующие окна
- ClassName: '0902675639e3' WindowName: '0e0560513ee40'
Создает и запускает на исполнение
- '%TEMP%\app_c4445cd8.exe'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' "%ALLUSERSPROFILE%\23284d7c13c9\202b4e7f10ca.dat",DllGetClassObject hosteng
