Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\rhfthmia.exe'
- '<SYSTEM32>\ihciweug.exe'
- '<SYSTEM32>\swhsoixo.exe'
- '<SYSTEM32>\hjqglwzn.exe'
- '<SYSTEM32>\ljnufmxr.exe'
- '<SYSTEM32>\cvhuitfe.exe'
- '<SYSTEM32>\kqqtbezh.exe'
- '<SYSTEM32>\ojpceevc.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\rhfthmia.exe
- <SYSTEM32>\ihciweug.exe
- <SYSTEM32>\swhsoixo.exe
- <SYSTEM32>\hjqglwzn.exe
- <SYSTEM32>\kqqtbezh.exe
- <SYSTEM32>\cvhuitfe.exe
- <SYSTEM32>\ojpceevc.exe
- <SYSTEM32>\ljnufmxr.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\rhfthmia.exe
- <SYSTEM32>\ihciweug.exe
- <SYSTEM32>\swhsoixo.exe
- <SYSTEM32>\hjqglwzn.exe
- <SYSTEM32>\ljnufmxr.exe
- <SYSTEM32>\cvhuitfe.exe
- <SYSTEM32>\kqqtbezh.exe
- <SYSTEM32>\ojpceevc.exe
Удаляет следующие файлы:
- %TEMP%\~DF4FC.tmp
- %TEMP%\~DF1766.tmp
- %TEMP%\~DF467C.tmp
- %TEMP%\~DF516E.tmp
- %TEMP%\~DFFC49.tmp
- %TEMP%\~DF3D25.tmp
- %TEMP%\~DFDAC6.tmp
- %TEMP%\~DFD09C.tmp
- %TEMP%\~DFF744.tmp
- %TEMP%\~DFDFC5.tmp
- %TEMP%\~DFA8F2.tmp
- %TEMP%\~DF362E.tmp
- %TEMP%\~DF75BD.tmp
- %TEMP%\~DF7694.tmp
Сетевая активность:
Подключается к:
- 'localhost':1049
- 'localhost':1047
- 'localhost':1053
- 'localhost':1051
- 'localhost':1045
- 'localhost':1039
- 'bl##.naver.com':80
- 'localhost':1043
- 'localhost':1041
TCP:
Запросы HTTP GET:
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
