Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Task Routing Procedure UserMode WWAN IPsec] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\cemoizoikn\caduzpwrl.exe' "c:\cemoizoikn\lcubroosm.exe"
- 'C:\cemoizoikn\lcubroosm.exe'
- 'C:\cemoizoikn\ym8u47koeijn5rxuh.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\cemoizoikn\lcubroosm.exe
- C:\cemoizoikn\caduzpwrl.exe
- C:\cemoizoikn\jjgoxjdr
- %WINDIR%\cemoizoikn\pjokhsp
- C:\cemoizoikn\pjokhsp
- C:\cemoizoikn\ym8u47koeijn5rxuh.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\cemoizoikn\caduzpwrl.exe
- C:\cemoizoikn\lcubroosm.exe
Удаляет следующие файлы:
- C:\cemoizoikn\ym8u47koeijn5rxuh.exe
- %WINDIR%\cemoizoikn\pjokhsp
Сетевая активность:
UDP:
- DNS ASK jo####yhowever.net
- DNS ASK hu####dperiod.net
- DNS ASK hu####dhowever.net
- DNS ASK li####choose.net
- DNS ASK de####ychoose.net
- DNS ASK jo####yperiod.net
- DNS ASK hu####dchoose.net
- DNS ASK jo####ychoose.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK hu####dalthough.net
- DNS ASK jo####yalthough.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
