Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Multimedia Certificate Telephony' = 'C:\jbvlrmrmgckrz\ukxlxjazdgju.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Shell BitLocker Counter Tracking User] 'ImagePath' = 'C:\jbvlrmrmgckrz\ukxlxjazdgju.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Shell BitLocker Counter Tracking User] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\jbvlrmrmgckrz\cvaqlimfv.exe' "c:\jbvlrmrmgckrz\ukxlxjazdgju.exe"
- 'C:\jbvlrmrmgckrz\ukxlxjazdgju.exe'
- 'C:\jbvlrmrmgckrz\zyi3epyhsrmji1bnf.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\jbvlrmrmgckrz\ukxlxjazdgju.exe
- C:\jbvlrmrmgckrz\cvaqlimfv.exe
- C:\jbvlrmrmgckrz\aqnqaqr1o
- %WINDIR%\jbvlrmrmgckrz\tcyjvrjh
- C:\jbvlrmrmgckrz\tcyjvrjh
- C:\jbvlrmrmgckrz\zyi3epyhsrmji1bnf.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\jbvlrmrmgckrz\cvaqlimfv.exe
- C:\jbvlrmrmgckrz\ukxlxjazdgju.exe
Удаляет следующие файлы:
- C:\jbvlrmrmgckrz\zyi3epyhsrmji1bnf.exe
- %WINDIR%\jbvlrmrmgckrz\tcyjvrjh
Подменяет следующие файлы:
- %WINDIR%\jbvlrmrmgckrz\tcyjvrjh
Сетевая активность:
Подключается к:
- 'ch####enreceive.net':80
- 'fa####receive.net':80
- 'ch####enbranch.net':80
- 'fa####believe.net':80
TCP:
Запросы HTTP GET:
- http://ch####enreceive.net/index.php
- http://fa####receive.net/index.php
- http://ch####enbranch.net/index.php
- http://fa####believe.net/index.php
UDP:
- DNS ASK ch####enreceive.net
- DNS ASK fa####receive.net
- DNS ASK ch####enquarter.net
- DNS ASK fa####believe.net
- DNS ASK ch####enbranch.net
- DNS ASK fa####branch.net
- DNS ASK ch####enbelieve.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
