Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\HidServ] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\AudioSrv] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\.Net CLR] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\hgdtykvodp a -s%CommonProgramFiles%\C34F30EA.exe
- %CommonProgramFiles%\B2F52F77.exe
- %CommonProgramFiles%\C34F30EA.exe
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k ".Net CLR"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\qbxtfvsicf.dat
- %CommonProgramFiles%\nintwvqyq
- %CommonProgramFiles%\lfcopobms
- %CommonProgramFiles%\nintwvqyqs
- %CommonProgramFiles%\C34F30EA.exe
- %CommonProgramFiles%\B2F52F77.exe
- <SYSTEM32>\360sd.dll
- %PROGRAM_FILES%\hgdtykvodp
Удаляет следующие файлы:
- %CommonProgramFiles%\nintwvqyqs
- %CommonProgramFiles%\lfcopobms
- %CommonProgramFiles%\B2F52F77.exe
- %CommonProgramFiles%\C34F30EA.exe
- %CommonProgramFiles%\nintwvqyq
Перемещает следующие файлы:
- %TEMP%\qbxtfvsicf.dat в %ALLUSERSPROFILE%\Application Data\Storm\update\%windowsname%\jiqxm.jpg
- %PROGRAM_FILES%\hgdtykvodp в %PROGRAM_FILES%\hgd
Сетевая активность:
Подключается к:
- 'jw###.3322.org':8181
UDP:
- DNS ASK jw###.3322.org
