Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'DNS Experience iSCSI Offline Transaction' = 'C:\rpdqnkqnikbnwq\elpiossulp.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Quality BitLocker Diagnostic Location] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\rpdqnkqnikbnwq\bdoaohar.exe' "c:\rpdqnkqnikbnwq\elpiossulp.exe"
- 'C:\rpdqnkqnikbnwq\elpiossulp.exe'
- 'C:\rpdqnkqnikbnwq\wr41vqzqchy1z7.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\rpdqnkqnikbnwq\elpiossulp.exe
- C:\rpdqnkqnikbnwq\bdoaohar.exe
- C:\rpdqnkqnikbnwq\anfputi8nq
- %WINDIR%\rpdqnkqnikbnwq\ilreor
- C:\rpdqnkqnikbnwq\ilreor
- C:\rpdqnkqnikbnwq\wr41vqzqchy1z7.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\rpdqnkqnikbnwq\bdoaohar.exe
- C:\rpdqnkqnikbnwq\elpiossulp.exe
Удаляет следующие файлы:
- C:\rpdqnkqnikbnwq\wr41vqzqchy1z7.exe
- %WINDIR%\rpdqnkqnikbnwq\ilreor
Сетевая активность:
Подключается к:
- 'an####straight.net':80
- 'gl####traight.net':80
- 'an####airplane.net':80
- 'gl####irplane.net':80
TCP:
Запросы HTTP GET:
- http://an####straight.net/index.php?me########
- http://gl####traight.net/index.php?me########
- http://an####airplane.net/index.php?me########
- http://gl####irplane.net/index.php?me########
UDP:
- DNS ASK gl####traight.net
- DNS ASK an###rguard.net
- DNS ASK gl###guard.net
- DNS ASK an####airplane.net
- DNS ASK gl####irplane.net
- DNS ASK an####straight.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
