Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Vawa' = '"%APPDATA%\Eqec\vawa.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Eqec\vawa.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp9d7442f8.bat
- <LS_APPDATA>\leifc.det
- %APPDATA%\Eqec\vawa.exe
Самоудаляется.
Сетевая активность:
UDP:
- '79.##.153.163':12827
- '31.##.200.104':13464
- '62.##4.30.232':10595
- '18#.#35.168.91':11857
- '19#.#3.222.173':18312
- '18#.#7.50.91':27916
- '10#.#15.44.142':20626
- '19#.#51.129.114':24824
- '79.##1.39.250':13631
- '12#.#37.236.132':19477
- '15#.#.231.137':23627
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
