Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '{7B75138C-E213-D060-4943-4BCABEE165F7}' = '%APPDATA%\zBEGKSPu\HILbWymN\ThllEmqx\tlablYjIm.exe'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\{7B75138C-E213-D060-4943-4BCABEE165F7}.job
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\zBEGKSPu\HILbWymN\ThllEmqx\tlablYjIm.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\zBEGKSPu\HILbWymN\ThllEmqx\tlablYjIm.exe
Сетевая активность:
Подключается к:
- 'ta###peri.party':80
- 'tu####usim.party':80
- 'pr#.###friendlythai.com':80
- 'lo###onenet.com':80
TCP:
Запросы HTTP POST:
- http://ta###peri.party/netreport.php
- http://tu####usim.party/netreport.php
- http://pr#.###friendlythai.com/netreport.php
- http://lo###onenet.com/netreport.php
UDP:
- DNS ASK ta###peri.party
- DNS ASK tu####usim.party
- DNS ASK pr#.###friendlythai.com
- DNS ASK lo###onenet.com
