Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Base Socket Class Fax Management CNG' = '%APPDATA%\xwlrbeavn\ycfxoljfm.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\xwlrbeavn\kphbrsxvnxz.exe' "%APPDATA%\xwlrbeavn\ycfxoljfm.exe"
- '%APPDATA%\xwlrbeavn\ycfxoljfm.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\xwlrbeavn\ycfxoljfm.uyjzr
- %APPDATA%\xwlrbeavn\kphbrsxvnxz.exe
- %APPDATA%\xwlrbeavn\ycfxoljfm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\xwlrbeavn\ycfxoljfm.exe
Сетевая активность:
Подключается к:
- 'fa####attempt.net':80
- 'pi####espread.net':80
TCP:
Запросы HTTP GET:
- fa####attempt.net/index.php?em############################################
- pi####espread.net/index.php?em############################################
UDP:
- DNS ASK ch####ensquare.net
- DNS ASK fa####square.net
- DNS ASK ch#####nneighbor.net
- DNS ASK fa####attempt.net
- DNS ASK pi####espread.net
- DNS ASK ci####ttespread.net
- DNS ASK ch####enattempt.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
