Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\codexus.gateway
Вредоносные функции
Патчит код
в динамической библиотеке AMSI
- Процесс mekxr.exe, модуль Amsi.dll
- Процесс codexus.gateway.exe, модуль Amsi.dll
в динамической библиотеке NTDLL
- Процесс mekxr.exe, модуль ntdll.dll
- Процесс codexus.gateway.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3088-2492-<Имя файла>.exe-18-57-53-529.dump
- %APPDATA%\codexus.gateway.exe
- %TEMP%\tmp49db.tmp.bat
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\<Имя файла>.exe.log
- nul
- %TEMP%\content\3472-3476-codexus.gateway.exe-18-58-15-086.dump
Сетевая активность
Подключается к
- '17#.#7.167.66':443
UDP
- DNS ASK de#####er.codexus.today
- DNS ASK co###us.today
- DNS ASK gp#.##dexus.today
Другое
Создает и запускает на исполнение
- '%APPDATA%\codexus.gateway.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c schtasks /create /f /sc onlogon /rl highest /tn "Codexus.Gateway" /tr '"%APPDATA%\Codexus.Gateway.exe"' & exit (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\tmp49DB.tmp.bat""
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "Codexus.Gateway" /tr '"%APPDATA%\Codexus.Gateway.exe"'
- '<SYSTEM32>\timeout.exe' 3
