Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] 'SMTP Monitor' = '%ProgramFiles(x86)%\SMTP Monitor\smtpmon.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\smtp monitor
- <SYSTEM32>\tasks\smtp monitor task
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
- %APPDATA%\8cf7b530-613e-439b-a8c5-ccfc0e745400\run.dat
- %ProgramFiles(x86)%\smtp monitor\smtpmon.exe
- %TEMP%\tmp3a45.tmp
- %APPDATA%\8cf7b530-613e-439b-a8c5-ccfc0e745400\task.dat
- %TEMP%\tmp3c5a.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\tmp3a45.tmp
- %TEMP%\tmp3c5a.tmp
Сетевая активность
UDP
- DNS ASK ha#####ma.freeddns.org
- DNS ASK ha####dma.hopto.org
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C type nul > "<Полный путь к файлу>:Zone.Identifier" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "SMTP Monitor" /xml "%TEMP%\tmp3A45.tmp"
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "SMTP Monitor Task" /xml "%TEMP%\tmp3C5A.tmp"
