Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ve75qijr1lqogjh.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Патчит код
в динамической библиотеке
- Процесс ve75qijr1lqogjh.exe, модуль KERNEL32.dll
- Процесс ve75qijr1lqogjh.exe, модуль SHELL32.dll
- Процесс cmd.exe, модуль KERNEL32.dll
- Процесс cmd.exe, модуль SHELL32.dll
в динамической библиотеке NTDLL
- Процесс ve75qijr1lqogjh.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- 'localhost':9050
- 'localhost':49699
- '85.##.159.65':80
- '16#.#0.207.2':9001
- '46.#52.26.2':49991
- '19#.#09.206.212':443
- '21#.#1.134.123':9001
- '12#.31.0.39':9101
- '17#.#2.86.96':9001
- '13#.#88.40.189':443
- '91.##1.23.100':9001
TCP
Другие
- '14#.#5.117.91':443
- '16#.#0.207.2':9001
- 'localhost':9050
- 'localhost':49704
- 'localhost':49708
- 'localhost':49712
- '13#.#88.40.189':443
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\ve75qijr1lqogjh.exe' "<Полный путь к файлу>"
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
- '%APPDATA%\microsoft\windows\start menu\programs\startup\ve75qijr1lqogjh.exe' "<Полный путь к файлу>" (со скрытым окном)
