Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\45e5bonj9rhsvn.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Патчит код
в динамической библиотеке
- Процесс 45e5bonj9rhsvn.exe, модуль KERNEL32.dll
- Процесс 45e5bonj9rhsvn.exe, модуль SHELL32.dll
- Процесс cmd.exe, модуль KERNEL32.dll
- Процесс cmd.exe, модуль SHELL32.dll
в динамической библиотеке NTDLL
- Процесс 45e5bonj9rhsvn.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- 'localhost':9050
- 'localhost':49696
- '62.##8.7.171':8001
- '16#.#72.53.84':21
- '85.##.159.65':80
- '19#.#09.206.212':443
- '17#.#1.180.157':22
- '18#.#3.39.197':443
- '21#.#39.217.18':1337
- '19#.#3.244.244':443
- '17#.#7.174.14':9001
- '<DNS_SERVER>':53
TCP
Другие
- 'localhost':9050
- 'localhost':49701
- 'localhost':49707
- 'localhost':49710
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\45e5bonj9rhsvn.exe' "<Полный путь к файлу>"
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
- '%APPDATA%\microsoft\windows\start menu\programs\startup\45e5bonj9rhsvn.exe' "<Полный путь к файлу>" (со скрытым окном)
