Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Modules Encryption Play Trap' = 'C:\rllapxdxafq\bfcupsdzcvzy.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Intelligent Wired Net.Tcp Base] 'ImagePath' = 'C:\rllapxdxafq\bfcupsdzcvzy.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Intelligent Wired Net.Tcp Base] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\rllapxdxafq\qphhhnhxjek.exe' "c:\rllapxdxafq\bfcupsdzcvzy.exe"
- 'C:\rllapxdxafq\bfcupsdzcvzy.exe'
- 'C:\rllapxdxafq\zgp2jx1n8itwskbrg.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\rllapxdxafq\bfcupsdzcvzy.exe
- C:\rllapxdxafq\qphhhnhxjek.exe
- C:\rllapxdxafq\kflrfskmdc7
- %WINDIR%\rllapxdxafq\vjyzsccvmw5s
- C:\rllapxdxafq\vjyzsccvmw5s
- C:\rllapxdxafq\zgp2jx1n8itwskbrg.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\rllapxdxafq\qphhhnhxjek.exe
- C:\rllapxdxafq\bfcupsdzcvzy.exe
Удаляет следующие файлы:
- C:\rllapxdxafq\zgp2jx1n8itwskbrg.exe
- %WINDIR%\rllapxdxafq\vjyzsccvmw5s
Подменяет следующие файлы:
- %WINDIR%\rllapxdxafq\vjyzsccvmw5s
Сетевая активность:
Подключается к:
- '11#.#42.143.147':31567
- '92.##7.45.207':21921
- '10#.#02.79.27':36272
- '5.#.166.192':41199
- '62.##1.108.194':20068
- '91.##.35.122':26126
- '18#.#55.161.27':20052
- '19#.#0.96.220':41884
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
