Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{EA2V8NG1-42RB-A0BE-WU8R-4MWI3A40B0PJ}] 'StubPath' = '"%APPDATA%\Install\Host.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'windowsproxy' = '%APPDATA%\Install\Host.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Spoon\Sandbox\1.0.0.0\local\stubexe\0x44070691BBAF7FA4\Host.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Install\Host.exe
- <LS_APPDATA>\Spoon\Sandbox\1.0.0.0\xsandbox.bin.__tmp__
Перемещает следующие файлы:
- <LS_APPDATA>\Spoon\Sandbox\1.0.0.0\local\stubexe\0x44070691BBAF7FA4\Host.exe.__tmp__ в <LS_APPDATA>\Spoon\Sandbox\1.0.0.0\local\stubexe\0x44070691BBAF7FA4\Host.exe
- <LS_APPDATA>\Spoon\Sandbox\1.0.0.0\xsandbox.bin.__tmp__ в <LS_APPDATA>\Spoon\Sandbox\1.0.0.0\xsandbox.bin
Сетевая активность:
Подключается к:
- 'an####337.zapto.org':1177
- 'an###.#337.zapto.org':3360
- 'st###.spoon.net':443
- 'an####337.zapto.org':25
UDP:
- DNS ASK an###.#337.zapto.org
- DNS ASK an####337.zapto.org
- DNS ASK st###.spoon.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
