Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe
следующие пользовательские процессы:
- firefox.exe
- msedge.exe
Патчит код
в динамической библиотеке NTDLL
- Процесс regasm.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\5240-4212-<Имя файла>.exe-19-05-28-105.dump
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
Сетевая активность
Подключается к
- 't.#e':443
- 've####-parrot.com':443
- 'x1.#.lencr.org':80
TCP
Запросы HTTP GET
- http://x1.#.lencr.org/
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/CABD2A79A1076A31F21D253635CB039D4329A5E8.crt?a5##############
Другие
- 't.#e':443
- 've####-parrot.com':443
UDP
- DNS ASK t.#e
- DNS ASK ve####-parrot.com
- DNS ASK x1.#.lencr.org
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe'
- '%ProgramFiles%\mozilla firefox\firefox.exe' --headless --incognito
- '%ProgramFiles(x86)%\microsoft\edge\application\msedge.exe' --headless --disable-gpu
