Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Access Connect Problem Receiver Source Bluetooth' = '%APPDATA%\xjnwllgg\vszvrqwm.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\xjnwllgg\dhomjsv.exe' "%APPDATA%\xjnwllgg\vszvrqwm.exe"
- '%APPDATA%\xjnwllgg\vszvrqwm.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\xjnwllgg\vszvrqwm.kxbd
- %APPDATA%\xjnwllgg\dhomjsv.exe
- %APPDATA%\xjnwllgg\vszvrqwm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\xjnwllgg\vszvrqwm.exe
Сетевая активность:
Подключается к:
- 'de###ebeing.net':80
- 'ni####orever.net':80
- 'de####forever.net':80
- 'ni###being.net':80
- 'do###bottom.net':80
- 'ni###beyond.net':80
- 'de####beyond.net':80
TCP:
Запросы HTTP GET:
- de###ebeing.net/index.php?em#############################
- ni####orever.net/index.php?em#############################
- de####forever.net/index.php?em#############################
- ni###being.net/index.php?em#############################
- do###bottom.net/index.php?em#############################
- ni###beyond.net/index.php?em#############################
- de####beyond.net/index.php?em#############################
UDP:
- DNS ASK de###ebeing.net
- DNS ASK ni####orever.net
- DNS ASK de####forever.net
- DNS ASK ni###being.net
- DNS ASK do###bottom.net
- DNS ASK ni###beyond.net
- DNS ASK de####beyond.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
