Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Ofepe\pasoyf.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp7fcb9483.bat"
- '%APPDATA%\Ofepe\pasoyf.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp7fcb9483.bat
- <LS_APPDATA>\uwwuk.ylh
- %APPDATA%\Ofepe\pasoyf.exe
Самоудаляется.
Сетевая активность:
UDP:
- '18#.#8.155.207':19952
- '20#.#52.48.163':26605
- '99.##8.104.78':25573
- '68.##5.44.96':28486
- '85.#1.57.48':29933
- '90.##1.76.108':29197
- '90.##7.81.15':28535
- '68.##2.252.216':18464
- '19#.#4.127.98':25549
- '76.##.43.153':21230
- '18#.#3.167.93':13954
- '75.#81.64.6':21561
- '78.##5.221.179':26926
- '66.#0.13.62':14679
- '86.##0.129.228':18551
