Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\l3hughxx8uqlesb.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Патчит код
в динамической библиотеке
- Процесс l3hughxx8uqlesb.exe, модуль KERNEL32.dll
- Процесс l3hughxx8uqlesb.exe, модуль SHELL32.dll
- Процесс cmd.exe, модуль KERNEL32.dll
- Процесс cmd.exe, модуль SHELL32.dll
в динамической библиотеке NTDLL
- Процесс l3hughxx8uqlesb.exe, модуль ntdll.dll
- Процесс cmd.exe, модуль ntdll.dll
Сетевая активность
Подключается к
- 'localhost':9050
- 'localhost':49696
- '17#.#6.208.56':443
- '46.##5.230.5':443
- '21#.#7.233.86':9001
- '17#.#5.193.78':443
- '17#.#5.193.9':80
- '15#.#5.175.225':443
- '19#.#3.244.244':443
- '81.##.158.213':9001
- '93.##5.97.242':9001
- '86.#9.21.38':443
- '17#.#26.252.12':8080
TCP
Другие
- 'localhost':9050
- 'localhost':49701
- 'localhost':49705
- 'localhost':49709
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\l3hughxx8uqlesb.exe' "<Полный путь к файлу>"
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '<Полный путь к файлу>' (со скрытым окном)
- '%APPDATA%\microsoft\windows\start menu\programs\startup\l3hughxx8uqlesb.exe' "<Полный путь к файлу>" (со скрытым окном)
