Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Mapper Engine Instrumentation PC Extender] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\xzykzvpthzvkuao\kvhunuzpdhs.exe' "c:\xzykzvpthzvkuao\etljbdvfepoo.exe"
- 'C:\xzykzvpthzvkuao\etljbdvfepoo.exe'
- 'C:\xzykzvpthzvkuao\zubdv9gjibdarhmm1z5p.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\xzykzvpthzvkuao\etljbdvfepoo.exe
- C:\xzykzvpthzvkuao\kvhunuzpdhs.exe
- C:\xzykzvpthzvkuao\iwouhn
- %WINDIR%\xzykzvpthzvkuao\cav0behayk3
- C:\xzykzvpthzvkuao\cav0behayk3
- C:\xzykzvpthzvkuao\zubdv9gjibdarhmm1z5p.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\xzykzvpthzvkuao\kvhunuzpdhs.exe
- C:\xzykzvpthzvkuao\etljbdvfepoo.exe
Удаляет следующие файлы:
- C:\xzykzvpthzvkuao\zubdv9gjibdarhmm1z5p.exe
- %WINDIR%\xzykzvpthzvkuao\cav0behayk3
Сетевая активность:
UDP:
- DNS ASK he###nevery.net
- DNS ASK le###revery.net
- DNS ASK he###single.net
- DNS ASK he###charge.net
- DNS ASK ge####single.net
- DNS ASK he####charge.net
- DNS ASK le####charge.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK he#####ifference.net
- DNS ASK le#####ifference.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
