Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'zzihaw.exe' = '%APPDATA%\aqihwe\\zzihaw.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'zzihaw.exe' = '%APPDATA%\aqihwe\zzihaw.exe'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'nuudgf.exe' = '%APPDATA%\aqihwe\\nuudgf.exe'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\aqihwe\zzihaw.exe' = '%APPDATA%\aqihwe\zzihaw.exe:*:Enable...
Внедряет код в
следующие пользовательские процессы:
- zzihaw.exe
Патчит код
в динамической библиотеке
- Процесс lopc.exe, модуль KERNEL32.dll
- Процесс zzihaw.exe, модуль KERNEL32.dll
- Процесс zzihaw.exe, модуль ADVAPI32.dll
в динамической библиотеке NTDLL
- Процесс zzihaw.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\aqihwe\zzihaw.exe
- %APPDATA%\aqihwe\zzihaw.exe.manifest
Сетевая активность
UDP
- DNS ASK pr#####-loads1337.biz
Другое
Создает и запускает на исполнение
- '%APPDATA%\aqihwe\zzihaw.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%APPDATA%\aqihwe\zzihaw.exe' (со скрытым окном)
