Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'EntropogenSecurity' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\entropogensecurity
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei39682\vcruntime140.dll
- %TEMP%\_mei39682\_bz2.pyd
- %TEMP%\_mei39682\_ctypes.pyd
- %TEMP%\_mei39682\_decimal.pyd
- %TEMP%\_mei39682\_hashlib.pyd
- %TEMP%\_mei39682\_lzma.pyd
- %TEMP%\_mei39682\_socket.pyd
- %TEMP%\_mei39682\base_library.zip
- %TEMP%\_mei39682\libcrypto-1_1.dll
- %TEMP%\_mei39682\libffi-7.dll
- %TEMP%\_mei39682\python39.dll
- %TEMP%\_mei39682\select.pyd
- %TEMP%\_mei39682\unicodedata.pyd
- %TEMP%\entropogen_task.xml
- %TEMP%\entropogen_wall.bmp
Удаляет файлы, которые сам же создал
- %TEMP%\entropogen_task.xml
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\themes\transcodedwallpaper
- %APPDATA%\microsoft\windows\themes\cachedfiles\cachedimage_1920_1080_pos2.jpg
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "schtasks /create /tn "EntropogenSecurity" /xml "%TEMP%\entropogen_task.xml" /f" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "EntropogenSecurity" /xml "%TEMP%\entropogen_task.xml" /f
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command " Add-Type -AssemblyName System.Drawing $bmp = New-Object System.Drawing.Bitmap(1920, 1080) $g = [System.Drawing.Graphics]::FromImage($bmp) $g.Clear([Sy...
