Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Solutions UserMode Input Certificate] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\yhtymfqwtphzn\rucbylzkoxm.exe' "c:\yhtymfqwtphzn\jnzlgygjofd.exe"
- 'C:\yhtymfqwtphzn\jnzlgygjofd.exe'
- 'C:\yhtymfqwtphzn\gvfsi8c9kzlejcfcozqi.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\yhtymfqwtphzn\jnzlgygjofd.exe
- C:\yhtymfqwtphzn\rucbylzkoxm.exe
- C:\yhtymfqwtphzn\swnqdn
- %WINDIR%\yhtymfqwtphzn\ll1jef8c
- C:\yhtymfqwtphzn\ll1jef8c
- C:\yhtymfqwtphzn\gvfsi8c9kzlejcfcozqi.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\yhtymfqwtphzn\rucbylzkoxm.exe
- C:\yhtymfqwtphzn\jnzlgygjofd.exe
Удаляет следующие файлы:
- C:\yhtymfqwtphzn\gvfsi8c9kzlejcfcozqi.exe
- %WINDIR%\yhtymfqwtphzn\ll1jef8c
Сетевая активность:
UDP:
- DNS ASK de####therefore.net
- DNS ASK fo####dquestion.net
- DNS ASK fo#####therefore.net
- DNS ASK gl###school.net
- DNS ASK an####school.net
- DNS ASK de####question.net
- DNS ASK fo####dschool.net
- DNS ASK de####school.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK fo####dwhile.net
- DNS ASK de###ewhile.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
