Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'kmyckuum.exe' = '"%APPDATA%\Identities\kmyckuum.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\ms5031214.bat
- %APPDATA%\Identities\kmyckuum.exe
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- %APPDATA%\ms5031214.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- '19#.#54.243.237':8080
- '80.##7.133.77':8080
- '15#.#55.238.163':8080
- '13#.#42.19.182':8080
- '19#.#71.152.53':8080
- '12#.#87.254.237':8080
- '17#.#48.200.118':8080
- '91.##8.174.192':8080
- '19#.1.66.98':8080
- '14#.#51.11.107':8080
- '21#.#08.154.110':8080
- '13#.#42.54.221':8080
- '46.##5.236.18':8080
- '20#.#86.139.105':8080
- '72.##.49.117':8080
- '5.##.249.46':8080
- '5.###.57.195':8080
- '20#.#10.70.175':8080
- '19#.#10.29.237':8080
- '10#.#23.78.10':8080
- '66.##.51.172':8080
- '10#.#61.128.103':8080
- '88.##.187.139':8080
- '72.##.204.17':8080
- '21#.#29.13.110':8080
- '66.##8.61.248':8080
- '79.##0.90.207':8080
- '18#.#3.174.136':8080
- '13#.133.3.7':8080
- '16#.#44.79.192':8080
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
