Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = '%HOMEPATH%\Desktop\server.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Spoon\Sandbox\micro\0.0.0.3\local\stubexe\0x5D21F35AE439D9EE\server.exe'
Завершает или пытается завершить
следующие пользовательские процессы:
- outpost.exe
- AVP.EXE
- bdagent.exe
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Spoon\Sandbox\micro\0.0.0.3\xsandbox.bin.__tmp__
Перемещает следующие файлы:
- %TEMP%\SPOON\CACHE\0x6F7950781B5BDBF8\sxs\_MyApplication.app@1.0.0.0\MyApplication.app.manifest.__tmp__ в %TEMP%\SPOON\CACHE\0x6F7950781B5BDBF8\sxs\_MyApplication.app@1.0.0.0\MyApplication.app.manifest
- %TEMP%\SPOON\CACHE\0x6F7950781B5BDBF8\sxs\_MyApplication.app@1.0.0.0\_MyApplication.app@1.0.0.0.manifest.__tmp__ в %TEMP%\SPOON\CACHE\0x6F7950781B5BDBF8\sxs\_MyApplication.app@1.0.0.0\_MyApplication.app@1.0.0.0.manifest
- %TEMP%\SPOON\CACHE\0x6F7950781B5BDBF8\sxs\Manifests\server.exe_0x1ad2c5dbeab310d36805a7231a54e5fd.1.manifest.__tmp__ в %TEMP%\SPOON\CACHE\0x6F7950781B5BDBF8\sxs\Manifests\server.exe_0x1ad2c5dbeab310d36805a7231a54e5fd.1.manifest
- <LS_APPDATA>\Spoon\Sandbox\micro\0.0.0.3\xsandbox.bin.__tmp__ в <LS_APPDATA>\Spoon\Sandbox\micro\0.0.0.3\xsandbox.bin
- <LS_APPDATA>\Spoon\Sandbox\micro\0.0.0.3\local\stubexe\0x5D21F35AE439D9EE\server.exe.__tmp__ в <LS_APPDATA>\Spoon\Sandbox\micro\0.0.0.3\local\stubexe\0x5D21F35AE439D9EE\server.exe
Сетевая активность:
Подключается к:
- 'st###.spoon.net':443
UDP:
- DNS ASK st###.spoon.net
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
