Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Ozqo\ipwyp.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Ozqo\ipwyp.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmpe3577a80.bat
- <LS_APPDATA>\woac.uso
- %APPDATA%\Ozqo\ipwyp.exe
Самоудаляется.
Сетевая активность:
UDP:
- '18#.#6.100.146':15491
- '83.#0.3.228':13647
- '19#.#01.63.2':13725
- '75.#.222.103':11577
- '99.##.188.39':17053
- '10#.#7.140.91':19298
- '17#.#3.145.22':14710
- '70.##2.191.161':13503
- '2.###.109.181':11829
- '21#.#2.102.247':12191
- '2.##.90.45':11708
- '18#.#34.163.118':28490
- '18#.#54.35.20':16376
- '20#.#70.172.19':19828
- '14#.3.65.13':12312
- '93.##6.211.170':13334
- '99.##.164.217':10357
- '71.##.132.182':14506
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
