Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\User-mode Portable DCOM] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\thnyhgbdio\hmpyaljuf.exe' "c:\thnyhgbdio\cmebtleevcva.exe"
- 'C:\thnyhgbdio\cmebtleevcva.exe'
- 'C:\thnyhgbdio\tqkdb8qghdonfz7vcyaa.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\thnyhgbdio\cmebtleevcva.exe
- C:\thnyhgbdio\hmpyaljuf.exe
- C:\thnyhgbdio\teswwv5njx
- %WINDIR%\thnyhgbdio\hqqspvvwqkf
- C:\thnyhgbdio\hqqspvvwqkf
- C:\thnyhgbdio\tqkdb8qghdonfz7vcyaa.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\thnyhgbdio\hmpyaljuf.exe
- C:\thnyhgbdio\cmebtleevcva.exe
Удаляет следующие файлы:
- C:\thnyhgbdio\tqkdb8qghdonfz7vcyaa.exe
- %WINDIR%\thnyhgbdio\hqqspvvwqkf
Сетевая активность:
UDP:
- DNS ASK el####icwheat.net
- DNS ASK re###dwheat.net
- DNS ASK re###danger.net
- DNS ASK re####always.net
- DNS ASK el####icanger.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK la###always.net
- DNS ASK ca####nalways.net
- DNS ASK ca####nforest.net
- DNS ASK la###forest.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
