[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '8f8a36986436638830ba1ef37b433c08' = '"%TEMP%\For More Fonts.exe" ..'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '8f8a36986436638830ba1ef37b433c08' = '"%TEMP%\For More Fonts.exe" ..'
Malicious functions:
To bypass firewall, removes or modifies the following registry keys:
[<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\For More Fonts.exe' = '%TEMP%\For More Fonts.exe:*:Enabled:For More Fonts.exe'
Creates and executes the following:
'%TEMP%\For More Fonts.exe'
Executes the following:
'<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\For More Fonts.exe" "For More Fonts.exe" ENABLE
Modifies file system :
Creates the following files:
%TEMP%\For More Fonts.exe
Network activity:
Connects to:
'ya####t.no-ip.biz':1177
UDP:
DNS ASK ya####t.no-ip.biz
Miscellaneous:
Searches for the following windows:
ClassName: 'Indicator' WindowName: '(null)'
Téléchargez Dr.Web pour Android
Gratuit pour 3 mois
Tous les composants de protection
Renouvellement de la démo via AppGallery/Google Pay
Nous utilisons des cookies sur notre site web à des fins d’analyse et de récolte de données statistiques. En naviguant sur notre site, vous pouvez accepter ou refuser l’utilisation de ces fichiers cookies, sauf ceux strictement nécessaires au fonctionnement du site web.
En savoir plus : Politique de confidentialité