Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'RegSvcs' = '%APPDATA%\RegSvcs.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sancerre.vbs
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\autfc3e.tmp
- %TEMP%\croc
- %LOCALAPPDATA%\complacence\sancerre.exe
- %TEMP%\aut90f.tmp
- %APPDATA%\regsvcs.exe
- %TEMP%\6996c6c4a7341737be2c5bc485ae54f9\gecko_cookies_tlhjfklgy_2026-01-26_16.51.59.json
- %TEMP%\6996c6c4a7341737be2c5bc485ae54f9\tlhjfklgy_20260126_165226.png
Удаляет файлы, которые сам же создал
- %TEMP%\autfc3e.tmp
- %TEMP%\aut90f.tmp
- %TEMP%\6996c6c4a7341737be2c5bc485ae54f9\gecko_cookies_tlhjfklgy_2026-01-26_16.51.59.json
Сетевая активность
Подключается к
- 'ic###azip.com':80
- 'ma##.###kirantekstil.com':587
TCP
Запросы HTTP GET
- http://ic###azip.com/
UDP
- DNS ASK ic###azip.com
- DNS ASK ma##.###kirantekstil.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\complacence\sancerre.exe'
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
