Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Quality Logon CardSpace Netlogon Counter' = 'C:\zrpgqjbwzgge\fkhnwhdurs.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Publication Intelligent Compatibility] 'ImagePath' = 'C:\zrpgqjbwzgge\fkhnwhdurs.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Publication Intelligent Compatibility] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\zrpgqjbwzgge\dycbwmggggly.exe' "c:\zrpgqjbwzgge\fkhnwhdurs.exe"
- 'C:\zrpgqjbwzgge\fkhnwhdurs.exe'
- 'C:\zrpgqjbwzgge\vt22w3epaekhcgvycv.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\zrpgqjbwzgge\fkhnwhdurs.exe
- C:\zrpgqjbwzgge\dycbwmggggly.exe
- C:\zrpgqjbwzgge\nujeu9ifzmj
- %WINDIR%\zrpgqjbwzgge\ogl8fgb4ajxt
- C:\zrpgqjbwzgge\ogl8fgb4ajxt
- C:\zrpgqjbwzgge\vt22w3epaekhcgvycv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\zrpgqjbwzgge\dycbwmggggly.exe
- C:\zrpgqjbwzgge\fkhnwhdurs.exe
Удаляет следующие файлы:
- C:\zrpgqjbwzgge\vt22w3epaekhcgvycv.exe
- %WINDIR%\zrpgqjbwzgge\ogl8fgb4ajxt
Подменяет следующие файлы:
- %WINDIR%\zrpgqjbwzgge\ogl8fgb4ajxt
Сетевая активность:
Подключается к:
- '41.#6.20.41':48405
- '81.##4.87.112':37714
- '17#.37.2.43':44303
- '24.##9.216.168':33794
- '20#.#11.99.94':37369
- '80.#4.199.6':49579
- '77.##.186.45':43519
- '86.##.69.232':41590
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
