Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\zlbdijqm.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Патчит код
в динамической библиотеке
- Процесс zlbdijqm.exe, модуль KERNEL32.dll
- Процесс zlbdijqm.exe, модуль SHELL32.dll
- Процесс cmd.exe, модуль KERNEL32.dll
- Процесс cmd.exe, модуль SHELL32.dll
в динамической библиотеке NTDLL
- Процесс zlbdijqm.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- 'localhost':9050
- 'localhost':49696
- '80.##7.117.180':443
- '37.##7.102.186':9001
- '19#.#84.246.250':443
- '21#.#41.138.174':9001
- '20#.#3.164.118':443
- '21#.#7.229.2':9001
- '12#.31.0.39':9101
- '37.#53.1.10':9001
- '86.#9.21.38':443
- '77.##7.181.162':443
TCP
Другие
- '19#.#84.246.250':443
- 'localhost':9050
- 'localhost':49701
- '20#.#3.164.118':443
- 'localhost':49706
- 'localhost':49711
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\zlbdijqm.exe' "<Полный путь к файлу>"
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
- '%APPDATA%\microsoft\windows\start menu\programs\startup\zlbdijqm.exe' "<Полный путь к файлу>" (со скрытым окном)
