Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'XoqA02' = '%APPDATA%\dtnjdj55\VUwaGb_ID8cBJzF\XoqA02.exe'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\dtnjdj55\vuwagb_id8cbjzf\xoqa02.txt
- %APPDATA%\dtnjdj55\vuwagb_id8cbjzf\xoqa02.exe
- %WINDIR%\fleetmissionutils.dll
- %WINDIR%\mywatch.dll
- %LOCALAPPDATA%\1fcbfbff000606a6
- %APPDATA%\dtnjdj55\vuwagb_id8cbjzf\.lnk
Удаляет файлы, которые сам же создал
- %APPDATA%\dtnjdj55\vuwagb_id8cbjzf\.lnk
Сетевая активность
Подключается к
- 'ww##loi.org':8080
- 'ww##loi.org':12345
TCP
Запросы HTTP GET
- http://ww####i.org:8080/10x.dll via ww##loi.org
Другие
- 'ww##loi.org':12345
UDP
- DNS ASK ww##loi.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\dtnjdj55\vuwagb_id8cbjzf\xoqa02.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '<Полный путь к файлу>' 46053F055905500576056005770576055905700576056005770559054405750575054105640571056405590557056A05640568056C056B0562055905610571056B056F0561056F053005300559055305500572056405420567055A054C0541053... (со скрытым окном)
