Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\TPM Installer Layer Routing] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ezyclokbiitrbnp\scqvaqqn.exe' "c:\ezyclokbiitrbnp\suxuffgap.exe"
- 'C:\ezyclokbiitrbnp\suxuffgap.exe'
- 'C:\ezyclokbiitrbnp\vi8ajlpfsaheby.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\ezyclokbiitrbnp\suxuffgap.exe
- C:\ezyclokbiitrbnp\scqvaqqn.exe
- C:\ezyclokbiitrbnp\hl5tcxbq
- %WINDIR%\ezyclokbiitrbnp\tzlw7xcf
- C:\ezyclokbiitrbnp\tzlw7xcf
- C:\ezyclokbiitrbnp\vi8ajlpfsaheby.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ezyclokbiitrbnp\scqvaqqn.exe
- C:\ezyclokbiitrbnp\suxuffgap.exe
Удаляет следующие файлы:
- C:\ezyclokbiitrbnp\vi8ajlpfsaheby.exe
- %WINDIR%\ezyclokbiitrbnp\tzlw7xcf
Сетевая активность:
UDP:
- DNS ASK se####became.net
- DNS ASK qu###became.net
- DNS ASK qu####ontain.net
- DNS ASK qu###basket.net
- DNS ASK se####contain.net
- DNS ASK se####industry.net
- DNS ASK fl###basket.net
- DNS ASK br####ontain.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK qu####ndustry.net
- DNS ASK br###basket.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
