Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'SecurityHealth' = '%ALLUSERSPROFILE%\Microsoft\Windows\SecurityHealth\SspiCli.exe'
Вредоносные функции
Перехватывает управление с помощью отладочных регистров
в динамической библиотеке AMSI
- Процесс bdgujwve.exe, модуль Amsi.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dc5704e0.bin
- %TEMP%\pxy9f9c.exe
- %TEMP%\proxy_agent_diag.txt
- %ALLUSERSPROFILE%\microsoft\windows\securityhealth\sspicli.exe
- %TEMP%\dc_exit.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\microsoft\windows\securityhealth\sspicli.exe
Удаляет файлы, которые сам же создал
- %TEMP%\pxy9f9c.exe
Сетевая активность
Подключается к
- '91.##.34.211':443
- 'google.com':443
- 'ap#.#pify.org':443
- 'ip##pi.com':80
TCP
Запросы HTTP GET
- http://ip##pi.com/json/185.93.40.66
Другие
- 'google.com':443
- 'ap#.#pify.org':443
UDP
- DNS ASK google.com
- DNS ASK ap#.#pify.org
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%TEMP%\pxy9f9c.exe'
- '%ALLUSERSPROFILE%\microsoft\windows\securityhealth\sspicli.exe'
Запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\windows\securityhealth\sspicli.exe' (со скрытым окном)
