Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\PROConnectSV] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\PROConnectSV] 'ImagePath' = '"%ALLUSERSPROFILE%\PRO32 Connect\wnoaqugmymczgegkruyrkexjeekdtcth-elevate.exe" -elevate \\.\pipe\elevateGS512wnoaqugmymczgeg...
Создает следующие сервисы
- 'PROConnectSV' %ALLUSERSPROFILE%\PRO32 Connect\wnoaqugmymczgegkruyrkexjeekdtcth-elevate.exe" -elevate \.\pipe\elevateGS512wnoaqugmymczgegkruyrkexjeekdtct
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\pro32 connect\logs\20260612.log
- %ALLUSERSPROFILE%\pro32 connect\settings.dat
- %LOCALAPPDATA%\pro32 connect\settings.dat
- %ALLUSERSPROFILE%\pro32 connect\wnoaqugmymczgegkruyrkexjeekdtcth-elevate.exe
- %ALLUSERSPROFILE%\pro32 connect\memory\0000pipe0pcommand96pro32^connectovklstvhui83fmm
- %ALLUSERSPROFILE%\pro32 connect\logs\20260612.gui.log
- %ALLUSERSPROFILE%\pro32 connect\logs\20260612.capture.log
Удаляет файлы, которые сам же создал
- %ALLUSERSPROFILE%\pro32 connect\wnoaqugmymczgegkruyrkexjeekdtcth-elevate.exe
Сетевая активность
UDP
- DNS ASK pr###connect.ru
Другое
Ищет следующие окна
- ClassName: 'GetscreenMeClassPRO32^Connect' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\pro32 connect\wnoaqugmymczgegkruyrkexjeekdtcth-elevate.exe' -elevate \\.\pipe\elevateGS512wnoaqugmymczgegkruyrkexjeekdtcth
Перезапускает анализируемый образец
