Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Leadhillite' = '%TEMP%\Cadencies\svvenes.exe'
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс jtviqwpz.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsr73da.tmp
- %APPDATA%\microsoft\windows\templates\typecheckes\treven
- %APPDATA%\microsoft\windows\templates\typecheckes\foremark.bor
- %APPDATA%\microsoft\windows\templates\typecheckes\pomes
- %APPDATA%\microsoft\windows\templates\typecheckes\friskest.aba
- %APPDATA%\microsoft\windows\templates\typecheckes\jua.sus
- %APPDATA%\microsoft\windows\templates\typecheckes\nordvestligt.bie
- %APPDATA%\microsoft\windows\templates\typecheckes\phoroscope.pac
- %APPDATA%\microsoft\windows\templates\typecheckes\skrslipperne.kri
- %TEMP%\nsn7850.tmp\system.dll
- %TEMP%\cadencies\svvenes.exe
Сетевая активность
Подключается к
- 'drive.google.com':443
- '19#.#58.198.23':80
- 'drive.usercontent.google.com':443
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?66##############
Другие
- 'drive.google.com':443
- 'drive.usercontent.google.com':443
UDP
- DNS ASK drive.google.com
- DNS ASK drive.usercontent.google.com
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Перезапускает анализируемый образец
