Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Event Function Browser Reporting Class WMI] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\hcyfysuesihiym\nllpilg.exe' "c:\hcyfysuesihiym\pfklxqvegm.exe"
- 'C:\hcyfysuesihiym\pfklxqvegm.exe'
- 'C:\hcyfysuesihiym\ur8cdgrdxd1eukjhpl.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\hcyfysuesihiym\pfklxqvegm.exe
- C:\hcyfysuesihiym\nllpilg.exe
- C:\hcyfysuesihiym\vshqzldilazd
- %WINDIR%\hcyfysuesihiym\ldbwc3z
- C:\hcyfysuesihiym\ldbwc3z
- C:\hcyfysuesihiym\ur8cdgrdxd1eukjhpl.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\hcyfysuesihiym\nllpilg.exe
- C:\hcyfysuesihiym\pfklxqvegm.exe
Удаляет следующие файлы:
- C:\hcyfysuesihiym\ur8cdgrdxd1eukjhpl.exe
- %WINDIR%\hcyfysuesihiym\ldbwc3z
Сетевая активность:
UDP:
- DNS ASK se####bottle.net
- DNS ASK qu###bottle.net
- DNS ASK qu###divide.net
- DNS ASK ag####tmanner.net
- DNS ASK se####divide.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK qu###stream.net
- DNS ASK se####stream.net
- DNS ASK se####nothing.net
- DNS ASK qu####othing.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
