Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Card Filtering Credential Alerts Browser' = '%APPDATA%\Roaming\hyrkcxmewhqt\lxalbjqwmzp.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\hyrkcxmewhqt\ajvgzmyw.exe' "%APPDATA%\Roaming\hyrkcxmewhqt\lxalbjqwmzp.exe"
- '%APPDATA%\Roaming\hyrkcxmewhqt\lxalbjqwmzp.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\hyrkcxmewhqt\lxalbjqwmzp.m6y
- %APPDATA%\Roaming\hyrkcxmewhqt\ajvgzmyw.exe
- %APPDATA%\Roaming\hyrkcxmewhqt\lxalbjqwmzp.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Roaming\hyrkcxmewhqt\lxalbjqwmzp.exe
Сетевая активность:
UDP:
- DNS ASK wh####rpromise.net
- DNS ASK ri####pinion.net
- DNS ASK ri####romise.net
- DNS ASK th####should.net
- DNS ASK fi####should.net
- DNS ASK wh####ropinion.net
- DNS ASK ri###should.net
- DNS ASK wh####rshould.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ri###short.net
- DNS ASK wh####rshort.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
