Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '0AE45177' = '%APPDATA%\Roaming\0AE45177\bin.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\winver.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\taskhost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\0AE45177\bin.exe
Сетевая активность:
UDP:
- DNS ASK jy####howqqf.com
- DNS ASK ru####xgpyhg.com
- DNS ASK ue####txttxw.com
- DNS ASK hk####jguudc.com
- DNS ASK ri####wfcpqq.com
- DNS ASK sw####kebree.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK fa###oock.ru
- DNS ASK qn####cphhpo.com
- DNS ASK wj####tddwwo.com
- DNS ASK ql####djdtpl.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
