Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Fax Encrypting Network Upgrade' = 'C:\rwqbnlygoiircef\ihozpjsywv.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Connect Studio Browser WMI Link] 'ImagePath' = 'C:\rwqbnlygoiircef\ihozpjsywv.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Connect Studio Browser WMI Link] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\rwqbnlygoiircef\vfwmxtjo.exe' "c:\rwqbnlygoiircef\ihozpjsywv.exe"
- 'C:\rwqbnlygoiircef\ihozpjsywv.exe'
- 'C:\rwqbnlygoiircef\cx42k0xkvvuug5uj.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\rwqbnlygoiircef\ihozpjsywv.exe
- C:\rwqbnlygoiircef\vfwmxtjo.exe
- C:\rwqbnlygoiircef\dzigvd
- %WINDIR%\rwqbnlygoiircef\cmooeamrnrwk
- C:\rwqbnlygoiircef\cmooeamrnrwk
- C:\rwqbnlygoiircef\cx42k0xkvvuug5uj.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\rwqbnlygoiircef\vfwmxtjo.exe
- C:\rwqbnlygoiircef\ihozpjsywv.exe
Удаляет следующие файлы:
- C:\rwqbnlygoiircef\cx42k0xkvvuug5uj.exe
- %WINDIR%\rwqbnlygoiircef\cmooeamrnrwk
Подменяет следующие файлы:
- %WINDIR%\rwqbnlygoiircef\cmooeamrnrwk
Сетевая активность:
Подключается к:
- '86.##5.19.130':27743
- '10#.#25.112.152':47507
- '70.##5.4.143':41500
- '81.##7.50.99':52074
- '74.#5.64.25':22739
- '92.##7.78.237':47427
- '22#.#1.110.45':48008
- '69.##1.140.58':36102
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
