Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\currentVersion\Run] 'update' = '%APPDATA%\windows.exe '
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei28562\vcruntime140.dll
- %TEMP%\_mei28562\_bz2.pyd
- %TEMP%\_mei28562\_decimal.pyd
- %TEMP%\_mei28562\_hashlib.pyd
- %TEMP%\_mei28562\_lzma.pyd
- %TEMP%\_mei28562\_socket.pyd
- %TEMP%\_mei28562\base_library.zip
- %TEMP%\_mei28562\libcrypto-1_1.dll
- %TEMP%\_mei28562\python.pdf
- %TEMP%\_mei28562\python311.dll
- %TEMP%\_mei28562\select.pyd
- %TEMP%\_mei28562\unicodedata.pyd
- %APPDATA%\windows.exe
- %LOCALAPPDATA%\adobe\color\profiles\wscrgb.icc
- %LOCALAPPDATA%\adobe\color\profiles\wsrgb.icc
- %LOCALAPPDATA%\adobe\color\acecache11.lst
Удаляет файлы, которые сам же создал
- %TEMP%\_mei28562\base_library.zip
- %TEMP%\_mei28562\libcrypto-1_1.dll
- %TEMP%\_mei28562\python.pdf
- %TEMP%\_mei28562\python311.dll
- %TEMP%\_mei28562\select.pyd
- %TEMP%\_mei28562\unicodedata.pyd
- %TEMP%\_mei28562\vcruntime140.dll
- %TEMP%\_mei28562\_bz2.pyd
- %TEMP%\_mei28562\_decimal.pyd
- %TEMP%\_mei28562\_hashlib.pyd
- %TEMP%\_mei28562\_lzma.pyd
- %TEMP%\_mei28562\_socket.pyd
Сетевая активность
Подключается к
- '<LOCALNET>.192.138':4444
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\_MEI28562\python.pdf" (со скрытым окном)
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\currentVersion\Run /v update /t REG_SZ /d "%APPDATA%\windows.exe "
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\_MEI28562\python.pdf"
