Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoftedgetelemetry
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
Перехватывает управление с помощью отладочных регистров
в динамической библиотеке
- Процесс qebyvgmj.exe, модуль unknown
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\neth-runtime-log.txt
- %TEMP%\content\5340-5348-dllhost.exe-21-15-18-092.dump
- %TEMP%\content\5340-5348-dllhost.exe-21-15-18-703.dump
- %TEMP%\content\5340-5348-dllhost.exe-21-15-18-958.dump
- %TEMP%\tmp3b63.tmp
- %TEMP%\tmp3c5e.tmp
- %APPDATA%\microsoft\crypto\keys\202428f6b3d7894af9b08019033892e5_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %APPDATA%\microcord\legcord.exe
Удаляет файлы, которые сам же создал
- %TEMP%\tmp3b63.tmp
- %TEMP%\tmp3c5e.tmp
Сетевая активность
Подключается к
- 'localhost':9090
- 'localhost':56001
- 'localhost':56002
- 'localhost':56003
- '2.##.54.202':9090
- '2.##.54.202':56001
- '2.##.54.202':56002
- '2.##.54.202':56003
Другое
Запускает на исполнение
- '<SYSTEM32>\dllhost.exe'
