Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Winlogin' = '"%ALLUSERSPROFILE%\Winlogin\Winlogin.exe"'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\winlogin\winlogin.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
- %ALLUSERSPROFILE%\winlogin\config\config.yml
- %ALLUSERSPROFILE%\winlogin\config\nezha_agent.zip
- %ALLUSERSPROFILE%\winlogin\config\nezha-agent.exe
Сетевая активность
Подключается к
- 'ra#.#itcode.com':443
- 'ap#.#ithub.com':443
- 'zh##.777311.xyz':443
TCP
Другие
- 'ra#.#itcode.com':443
- 'ap#.#ithub.com':443
- 'zh##.777311.xyz':443
UDP
- DNS ASK ra#.#itcode.com
- DNS ASK ap#.#ithub.com
- DNS ASK zh##.777311.xyz
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\winlogin\winlogin.exe'
- '%ALLUSERSPROFILE%\winlogin\config\nezha-agent.exe'
- '%ALLUSERSPROFILE%\winlogin\config\nezha-agent.exe' -v
