Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\yfvg5cstla45.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Патчит код
в динамической библиотеке
- Процесс yfvg5cstla45.exe, модуль KERNEL32.dll
- Процесс yfvg5cstla45.exe, модуль SHELL32.dll
- Процесс cmd.exe, модуль KERNEL32.dll
- Процесс cmd.exe, модуль SHELL32.dll
в динамической библиотеке NTDLL
- Процесс yfvg5cstla45.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- 'localhost':9050
- 'localhost':49698
- '18#.#66.133.133':9001
- '97.##.237.196':9001
- '19#.#49.223.69':443
- '31.#1.78.49':443
- '19#.#8.81.140':443
- '10#.#3.208.157':443
- '91.##1.84.137':4052
- '20#.#3.164.118':443
TCP
Другие
- 'localhost':9050
- 'localhost':49703
- '19#.#8.81.140':443
- 'localhost':49710
- '20#.#3.164.118':443
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\yfvg5cstla45.exe' "<Полный путь к файлу>"
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
- '%APPDATA%\microsoft\windows\start menu\programs\startup\yfvg5cstla45.exe' "<Полный путь к файлу>" (со скрытым окном)
