Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Protected Registry IPsec' = 'C:\gkwkxwnjrlk\dktranwqram.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\IKE Launcher Auto-Discovery] 'ImagePath' = 'C:\gkwkxwnjrlk\dktranwqram.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\IKE Launcher Auto-Discovery] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\gkwkxwnjrlk\rjneefgbpku.exe' "c:\gkwkxwnjrlk\dktranwqram.exe"
- 'C:\gkwkxwnjrlk\dktranwqram.exe'
- 'C:\gkwkxwnjrlk\zm2tpgm8rncl4o3zo.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\gkwkxwnjrlk\dktranwqram.exe
- C:\gkwkxwnjrlk\rjneefgbpku.exe
- C:\gkwkxwnjrlk\hjawnnuzvzkl
- %WINDIR%\gkwkxwnjrlk\adpthe
- C:\gkwkxwnjrlk\adpthe
- C:\gkwkxwnjrlk\zm2tpgm8rncl4o3zo.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\gkwkxwnjrlk\rjneefgbpku.exe
- C:\gkwkxwnjrlk\dktranwqram.exe
Удаляет следующие файлы:
- C:\gkwkxwnjrlk\zm2tpgm8rncl4o3zo.exe
- %WINDIR%\gkwkxwnjrlk\adpthe
Подменяет следующие файлы:
- %WINDIR%\gkwkxwnjrlk\adpthe
Сетевая активность:
Подключается к:
- '88.#48.36.4':25752
- '62.##1.108.194':20068
- '18#.#5.131.224':26337
- '21#.#7.168.28':52231
- '11#.#18.187.28':42065
- '10#.#25.112.152':47507
- '10#.#2.195.20':39160
- '81.##4.87.112':37714
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
