Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'NGEN Configuration Information UPnP' = '%APPDATA%\wromi1\kbqme1scxr.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\wromi1\orovhialrf13.exe' "%APPDATA%\wromi1\kbqme1scxr.exe"
- '%APPDATA%\wromi1\kbqme1scxr.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\wromi1\kbqme1scxr.eimi0
- %APPDATA%\wromi1\orovhialrf13.exe
- %APPDATA%\wromi1\kbqme1scxr.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\wromi1\kbqme1scxr.exe
Сетевая активность:
Подключается к:
- 'th####istant.net':80
- 'pr####tclothes.net':80
- 'th####lothes.net':80
- 'co####eseparate.net':80
- 'ch####eparate.net':80
- 'pr####tdistant.net':80
- 'th####eparate.net':80
- 'cl###future.net':80
- 'th###future.net':80
- 'pr####thealth.net':80
- 'th###health.net':80
- 'pr####tseparate.net':80
- 'of###health.net':80
- 'al####eparate.net':80
- 'of####eparate.net':80
- 'al####lothes.net':80
- 'of####lothes.net':80
- 'al###health.net':80
- 'ch####lothes.net':80
- 'co####ehealth.net':80
- 'ch###health.net':80
- 'co####edistant.net':80
- 'ch####istant.net':80
- 'co####eclothes.net':80
- 'st####efuture.net':80
- 'hi####ysafety.net':80
- 'st####esafety.net':80
- 'we####rsmell.net':80
- 'am###tsmell.net':80
- 'hi####yfuture.net':80
- 'st####esmell.net':80
- 'mo####gfuture.net':80
- 'ra####future.net':80
- 'hi####yearly.net':80
- 'st####eearly.net':80
- 'hi####ysmell.net':80
- 'th###early.net':80
- 'cl###smell.net':80
- 'th###smell.net':80
- 'cl###safety.net':80
- 'th###safety.net':80
- 'cl###early.net':80
- 'am####safety.net':80
- 'we####rearly.net':80
- 'am###tearly.net':80
- 'we####rfuture.net':80
- 'am####future.net':80
- 'we####rsafety.net':80
TCP:
Запросы HTTP GET:
- th####istant.net/index.php?em############################################################
- pr####tclothes.net/index.php?em############################################################
- th####lothes.net/index.php?em############################################################
- co####eseparate.net/index.php?em############################################################
- ch####eparate.net/index.php?em############################################################
- pr####tdistant.net/index.php?em############################################################
- th####eparate.net/index.php?em############################################################
- cl###future.net/index.php?em############################################################
- th###future.net/index.php?em############################################################
- pr####thealth.net/index.php?em############################################################
- th###health.net/index.php?em############################################################
- pr####tseparate.net/index.php?em############################################################
- of###health.net/index.php?em############################################################
- al####eparate.net/index.php?em############################################################
- of####eparate.net/index.php?em############################################################
- al####lothes.net/index.php?em############################################################
- of####lothes.net/index.php?em############################################################
- al###health.net/index.php?em############################################################
- ch####lothes.net/index.php?em############################################################
- co####ehealth.net/index.php?em############################################################
- ch###health.net/index.php?em############################################################
- co####edistant.net/index.php?em############################################################
- ch####istant.net/index.php?em############################################################
- co####eclothes.net/index.php?em############################################################
- st####efuture.net/index.php?em############################################################
- hi####ysafety.net/index.php?em############################################################
- st####esafety.net/index.php?em############################################################
- we####rsmell.net/index.php?em############################################################
- am###tsmell.net/index.php?em############################################################
- hi####yfuture.net/index.php?em############################################################
- st####esmell.net/index.php?em############################################################
- mo####gfuture.net/index.php?em############################################################
- ra####future.net/index.php?em############################################################
- hi####yearly.net/index.php?em############################################################
- st####eearly.net/index.php?em############################################################
- hi####ysmell.net/index.php?em############################################################
- th###early.net/index.php?em############################################################
- cl###smell.net/index.php?em############################################################
- th###smell.net/index.php?em############################################################
- cl###safety.net/index.php?em############################################################
- th###safety.net/index.php?em############################################################
- cl###early.net/index.php?em############################################################
- am####safety.net/index.php?em############################################################
- we####rearly.net/index.php?em############################################################
- am###tearly.net/index.php?em############################################################
- we####rfuture.net/index.php?em############################################################
- am####future.net/index.php?em############################################################
- we####rsafety.net/index.php?em############################################################
UDP:
- DNS ASK th####istant.net
- DNS ASK pr####tclothes.net
- DNS ASK th####lothes.net
- DNS ASK co####eseparate.net
- DNS ASK ch####eparate.net
- DNS ASK pr####tdistant.net
- DNS ASK th####eparate.net
- DNS ASK cl###future.net
- DNS ASK th###future.net
- DNS ASK pr####thealth.net
- DNS ASK th###health.net
- DNS ASK pr####tseparate.net
- DNS ASK of###health.net
- DNS ASK al####eparate.net
- DNS ASK of####eparate.net
- DNS ASK al####lothes.net
- DNS ASK of####lothes.net
- DNS ASK al###health.net
- DNS ASK ch####lothes.net
- DNS ASK co####ehealth.net
- DNS ASK ch###health.net
- DNS ASK co####edistant.net
- DNS ASK ch####istant.net
- DNS ASK co####eclothes.net
- DNS ASK st####efuture.net
- DNS ASK hi####ysafety.net
- DNS ASK st####esafety.net
- DNS ASK we####rsmell.net
- DNS ASK am###tsmell.net
- DNS ASK hi####yfuture.net
- DNS ASK st####esmell.net
- DNS ASK mo####gfuture.net
- DNS ASK ra####future.net
- DNS ASK hi####yearly.net
- DNS ASK st####eearly.net
- DNS ASK hi####ysmell.net
- DNS ASK th###early.net
- DNS ASK cl###smell.net
- DNS ASK th###smell.net
- DNS ASK cl###safety.net
- DNS ASK th###safety.net
- DNS ASK cl###early.net
- DNS ASK am####safety.net
- DNS ASK we####rearly.net
- DNS ASK am###tearly.net
- DNS ASK we####rfuture.net
- DNS ASK am####future.net
- DNS ASK we####rsafety.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
