Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'J4angKC' = '%APPDATA%\ngvhjg\3d1a9Dfum_UFT1s1\J4angKC.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\ngvhjg\3d1a9dfum_uft1s1\j4angkc.txt
- %TEMP%\<Имя файла>.exe.jpg
- %APPDATA%\ngvhjg\3d1a9dfum_uft1s1\j4angkc.exe
- %APPDATA%\ngvhjg\3d1a9dfum_uft1s1\bugtrap.dll
- %APPDATA%\ngvhjg\3d1a9dfum_uft1s1\mss32.dll
- %LOCALAPPDATA%\1fcbfbff000606a6
- %APPDATA%\ngvhjg\3d1a9dfum_uft1s1\.lnk
Удаляет файлы, которые сам же создал
- %APPDATA%\ngvhjg\3d1a9dfum_uft1s1\.lnk
Сетевая активность
Подключается к
- '10#.#00.211.22':8080
- '10#.#00.211.22':12345
TCP
Запросы HTTP GET
- http://10#.##0.211.22:8080/10x.dll via 10#.#00.211.22
Другие
- '10#.#00.211.22':12345
Другое
Ищет следующие окна
- ClassName: 'NarratorUIClass' WindowName: ''
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\ngvhjg\3d1a9dfum_uft1s1\j4angkc.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\<Имя файла>.exe.jpg (со скрытым окном)
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '<Полный путь к файлу>' 400339035F03560370036603710370035F0376037003660371035F0342037303730347036203770362035F0351036C0362036E036A036D0364035F036D03640375036B03690364035F0330036703320362033A034703650376036E035C0356034... (со скрытым окном)
