Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Image COM+ Device Auto-Discovery' = 'C:\wopstbuaspfh\devxwfhcbj.exe'
Вредоносные функции:
Запускает на исполнение:
- 'C:\wopstbuaspfh\bbqvnqf.exe' "c:\wopstbuaspfh\devxwfhcbj.exe"
- 'C:\wopstbuaspfh\devxwfhcbj.exe'
- 'C:\wopstbuaspfh\jamvq2fdufzeaaavdsh.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\wopstbuaspfh\devxwfhcbj.exe
- C:\wopstbuaspfh\bbqvnqf.exe
- C:\wopstbuaspfh\t6lclowcx
- %WINDIR%\wopstbuaspfh\evaa5nz
- C:\wopstbuaspfh\evaa5nz
- C:\wopstbuaspfh\jamvq2fdufzeaaavdsh.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\wopstbuaspfh\bbqvnqf.exe
- C:\wopstbuaspfh\devxwfhcbj.exe
Удаляет следующие файлы:
- C:\wopstbuaspfh\jamvq2fdufzeaaavdsh.exe
- %WINDIR%\wopstbuaspfh\evaa5nz
Подменяет следующие файлы:
- %WINDIR%\wopstbuaspfh\evaa5nz
Сетевая активность:
Подключается к:
- '11#.#18.187.28':42065
- '86.##5.19.130':27743
- '2.##.19.50':35833
- '21#.#7.168.28':52231
- '41.##8.41.238':29356
- '74.#5.64.25':22739
- '20#.#23.152.97':27682
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
