Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'DarkComet RAT' = '%HOMEPATH%\Documents\DCSCMIN\IMDCSC.exe'
- [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%HOMEPATH%\Documents\DCSCMIN\IMDCSC.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei11402\vcruntime140.dll
- %TEMP%\_mei11402\vcruntime140_1.dll
- %TEMP%\_mei11402\_bz2.pyd
- %TEMP%\_mei11402\_ctypes.pyd
- %TEMP%\_mei11402\_decimal.pyd
- %TEMP%\_mei11402\_hashlib.pyd
- %TEMP%\_mei11402\_lzma.pyd
- %TEMP%\_mei11402\_socket.pyd
- %TEMP%\_mei11402\_ssl.pyd
- %TEMP%\_mei11402\_wmi.pyd
- %TEMP%\_mei11402\_zstd.pyd
- %TEMP%\_mei11402\base_library.zip
- %TEMP%\_mei11402\libcrypto-3.dll
- %TEMP%\_mei11402\libffi-8.dll
- %TEMP%\_mei11402\libssl-3.dll
- %TEMP%\_mei11402\python314.dll
- %TEMP%\_mei11402\select.pyd
- %TEMP%\_mei11402\unicodedata.pyd
- %TEMP%\lsr7s3ib
- %TEMP%\tmp9qtv5y77.exe
- %HOMEPATH%\documents\dcscmin\imdcsc.exe
Удаляет файлы, которые сам же создал
- %TEMP%\lsr7s3ib
- %TEMP%\tmp9qtv5y77.exe
Сетевая активность
Подключается к
- 'localhost':1604
Другое
Создает и запускает на исполнение
- '%TEMP%\tmp9qtv5y77.exe'
- '%HOMEPATH%\documents\dcscmin\imdcsc.exe'
Перезапускает анализируемый образец
