Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ipcjqwykoc' = '%APPDATA%\Roaming\Microsoft\kihdso.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3525224950-2885160813-905547259-1000\7ee83745df35bad5ccfc8cd8875de253_fdaad129-04df-4089-bb80-174ce725f721
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\Roaming\Microsoft\kihdso.exe
Сетевая активность:
Подключается к:
- '98.##9.54.60':25
- '65.##.188.94':25
- '65.##.188.110':25
- '65.##.92.184':25
- '66.##6.118.35':25
- '66.##6.118.34':25
- '65.##.92.152':25
- '19#.#8.128.30':53
- '12#.8.10.90':53
- '20#.#2.27.33':53
- '19#.33.4.12':53
- '67.##5.160.76':80
- 'do###oad.com':80
- 'ao#.com':80
- '66.##6.118.36':25
- '66.##.237.139':25
- '65.#5.37.88':25
- '66.##6.118.33':25
- '74.##5.137.27':25
- '74.#.136.244':25
- '17#.#94.76.26':25
- '65.##.92.168':25
- '65.##.188.126':25
- '66.##.238.147':25
- '65.##.188.72':25
- '98.##6.216.25':25
- '98.##6.217.202':25
- '65.##.92.136':25
TCP:
Запросы HTTP GET:
- ao#.com/
- do###oad.com/
- 67.##5.160.76/
UDP:
- DNS ASK do###oad.com
- DNS ASK ao#.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK ya##o.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
