Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowssystemhost
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
Сетевая активность
Подключается к
- 'ip##pi.com':80
- 'ye######31736.portmap.host':31736
TCP
Запросы HTTP GET
- http://ip##pi.com/json/
UDP
- DNS ASK ip##pi.com
- DNS ASK ye######31736.portmap.host
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "WINDOWSSYSTEMHOST" /tr "<Полный путь к файлу>" /sc MINUTE /MO 1 (со скрытым окном)
