Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Device Panel Distributed User Group] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\tupoxfhnfxdvrez\xdjwoyj.exe' "c:\tupoxfhnfxdvrez\tbdjcznwxs.exe"
- 'C:\tupoxfhnfxdvrez\tbdjcznwxs.exe'
- 'C:\tupoxfhnfxdvrez\nm8q88gbyu3ado2e.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\tupoxfhnfxdvrez\tbdjcznwxs.exe
- C:\tupoxfhnfxdvrez\xdjwoyj.exe
- C:\tupoxfhnfxdvrez\tzphrhxnytr9
- %WINDIR%\tupoxfhnfxdvrez\s5jz3lr
- C:\tupoxfhnfxdvrez\s5jz3lr
- C:\tupoxfhnfxdvrez\nm8q88gbyu3ado2e.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\tupoxfhnfxdvrez\xdjwoyj.exe
- C:\tupoxfhnfxdvrez\tbdjcznwxs.exe
Удаляет следующие файлы:
- C:\tupoxfhnfxdvrez\nm8q88gbyu3ado2e.exe
- %WINDIR%\tupoxfhnfxdvrez\s5jz3lr
Сетевая активность:
UDP:
- DNS ASK in####sestorm.net
- DNS ASK fo###tstorm.net
- DNS ASK fo####thrown.net
- DNS ASK wo###hunger.net
- DNS ASK in####sethrown.net
- DNS ASK in#####etraining.net
- DNS ASK fo####hunger.net
- DNS ASK th####hthrown.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK fo####training.net
- DNS ASK in####sehunger.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
