Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Hiyf\xejefo.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- %APPDATA%\Hiyf\xejefo.exe
Внедряет код в
следующие системные процессы:
- <Служебный элемент>
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmpfab81f52.bat
- <LS_APPDATA>\oxoded.hii
- %APPDATA%\Hiyf\xejefo.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ba#######uwrwciaulfxjnfhdrs.biz':80
- 'www.bing.com':80
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- ba#######uwrwciaulfxjnfhdrs.biz/
- www.bing.com/
- 74.##5.232.51/
UDP:
- DNS ASK www.bing.com
- DNS ASK www.google.com
- DNS ASK ba#######uwrwciaulfxjnfhdrs.biz
- '74.##2.242.34':15913
- '75.#81.64.6':21561
- '76.##6.150.193':23877
- '95.##8.13.250':17148
- '22#.#7.138.140':23060
- '11#.#71.74.52':18404
- '19#.#4.127.98':25549
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
