Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Host AutoConfig Tools Backup Base Encryption] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\gkhxwkkye\dxictvafr.exe' "c:\gkhxwkkye\ohwbyycomai.exe"
- 'C:\gkhxwkkye\ohwbyycomai.exe'
- 'C:\gkhxwkkye\bs8u83yttkswvpk.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\gkhxwkkye\ohwbyycomai.exe
- C:\gkhxwkkye\dxictvafr.exe
- C:\gkhxwkkye\wni3ht
- %WINDIR%\gkhxwkkye\ywepwpqn1
- C:\gkhxwkkye\ywepwpqn1
- C:\gkhxwkkye\bs8u83yttkswvpk.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\gkhxwkkye\dxictvafr.exe
- C:\gkhxwkkye\ohwbyycomai.exe
Удаляет следующие файлы:
- C:\gkhxwkkye\bs8u83yttkswvpk.exe
- %WINDIR%\gkhxwkkye\ywepwpqn1
Сетевая активность:
UDP:
- DNS ASK de####yalthough.net
- DNS ASK li####choose.net
- DNS ASK li####although.net
- DNS ASK li####period.net
- DNS ASK de####yperiod.net
- DNS ASK de####ychoose.net
- DNS ASK hu####dperiod.net
- DNS ASK jo####yperiod.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK hu####dhowever.net
- DNS ASK jo####yhowever.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
