Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /PID 3076 /F
Патчит код
в динамической библиотеке
- Процесс hezhq.exe, модуль win32u.dll
в динамической библиотеке NTDLL
- Процесс hezhq.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\content\3076-5376-<Имя файла>.exe-20-25-44-453.dump
Сетевая активность
Подключается к
- 'de###licker.cc':443
TCP
Другие
- 'de###licker.cc':443
UDP
- DNS ASK de###licker.cc
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C timeout /T 5 /NOBREAK & taskkill /PID 3076 /F & timeout /T 1 /NOBREAK & del "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\timeout.exe' /T 5 /NOBREAK
- '<SYSTEM32>\timeout.exe' /T 1 /NOBREAK
