Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c pause
- '%TEMP%\xloxgygtwg.exe' -
Завершает или пытается завершить
следующие пользовательские процессы:
- nod32.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\flghissxsufsjvciobpvqrsc.hce
- %TEMP%\flghissxsufsjvciobpvqrsc.hce
- <Текущая директория>\wc_drop.exe
- %TEMP%\xloxgygtwg.exe
- %ProgramFiles%\flghissxsufsjvciobpvqrsc.hce
- <SYSTEM32>\flghissxsufsjvciobpvqrsc.hce
- %WINDIR%\flghissxsufsjvciobpvqrsc.hce
- <LS_APPDATA>\flghissxsufsjvciobpvqrsc.hce
Сетевая активность:
Подключается к:
- 'wh#####yipaddress.com':80
- 'wh#####yip.everdot.org':80
- 'www.wh###smyip.com':80
- 'any':80
- 'www.wh###smyip.ca':80
- 'www.wh###smyip.org':80
TCP:
Запросы HTTP GET:
- http://wh#####yipaddress.com/
- http://wh#####yip.everdot.org/
- http://www.wh###smyip.com/
- http://we#r���� via any
- http://www.wh###smyip.ca/
- http://www.wh###smyip.org/
UDP:
- DNS ASK wh#####yip.everdot.org
- DNS ASK www.wh###smyip.com
- DNS ASK wh#####yipaddress.com
- DNS ASK www.wh###smyip.ca
- DNS ASK www.wh###smyip.org
