Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\hwinfo32setup
- <SYSTEM32>\tasks\hwinfo32monitor
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\hwinfo32\lu.tmp
Удаляет файлы, которые сам же создал
- <SYSTEM32>\tasks\hwinfo32setup
Перемещает следующие файлы
- %APPDATA%\hwinfo32\lu.tmp в %APPDATA%\hwinfo32\programa.exe
Сетевая активность
Подключается к
- 'ap#.##oudflare.com':443
- '19#.#32.210.172':80
- 'dl.#####oxusercontent.com':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?13##############
Другие
- 'ap#.##oudflare.com':443
- 'dl.#####oxusercontent.com':443
UDP
- DNS ASK ap#.##oudflare.com
- DNS ASK dl.#####oxusercontent.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\hwinfo32\programa.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /F /SC ONLOGON /RL HIGHEST /TN "HWiNFO32Setup" /TR "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /F /SC ONLOGON /RL HIGHEST /TN "HWiNFO32Monitor" /TR "%APPDATA%\HWiNFO32\programa.exe" (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Delete /F /TN "HWiNFO32Setup" (со скрытым окном)
