Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] '1gj7C35KSP4' = '%APPDATA%\AGEGE\5cY861_8Wrg8q9\1gj7C35KSP4.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\agege\5cy861_8wrg8q9\1gj7c35ksp4.txt
- %APPDATA%\agege\5cy861_8wrg8q9\1gj7c35ksp4.exe
- %WINDIR%\fleetmissionutils.dll
- %WINDIR%\mywatch.dll
- %LOCALAPPDATA%\1fcbfbff000606a6
- %APPDATA%\agege\5cy861_8wrg8q9\.lnk
Удаляет файлы, которые сам же создал
- %APPDATA%\agege\5cy861_8wrg8q9\.lnk
Сетевая активность
Подключается к
- 'ww##loi.org':8080
- 'ww##loi.org':12345
TCP
Запросы HTTP GET
- http://ww####i.org:8080/10x.dll via ww##loi.org
Другие
- 'ww##loi.org':12345
UDP
- DNS ASK ww##loi.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\agege\5cy861_8wrg8q9\1gj7c35ksp4.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' 400339035F03560370036603710370035F0376037003660371035F0342037303730347036203770362035F0351036C0362036E036A036D0364035F03420344034603440346035F03360360035A033B03350332035C033B035403710364033B037... (со скрытым окном)
