Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\SNMP Media Fax Program Server] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\kzntxcgpp\tsjgkkhjywyz.exe' "c:\kzntxcgpp\pnrnuqmgsdvk.exe"
- 'C:\kzntxcgpp\pnrnuqmgsdvk.exe'
- 'C:\kzntxcgpp\ct7y8axpfvwow0s.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\kzntxcgpp\pnrnuqmgsdvk.exe
- C:\kzntxcgpp\tsjgkkhjywyz.exe
- C:\kzntxcgpp\oqrpvqjyi
- %WINDIR%\kzntxcgpp\rvwskypt5
- C:\kzntxcgpp\rvwskypt5
- C:\kzntxcgpp\ct7y8axpfvwow0s.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\kzntxcgpp\tsjgkkhjywyz.exe
- C:\kzntxcgpp\pnrnuqmgsdvk.exe
Удаляет следующие файлы:
- C:\kzntxcgpp\ct7y8axpfvwow0s.exe
- %WINDIR%\kzntxcgpp\rvwskypt5
Сетевая активность:
UDP:
- DNS ASK of###guard.net
- DNS ASK al####traight.net
- DNS ASK al###guard.net
- DNS ASK al###fence.net
- DNS ASK of###fence.net
- DNS ASK of####irplane.net
- DNS ASK co####efence.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK of####traight.net
- DNS ASK al####irplane.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
