Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Driver Card Initiator Tools Isolation' = 'C:\womkximjdm\doxnxkindqv.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Topology PNRP Shadow AutoConnect] 'ImagePath' = 'C:\womkximjdm\doxnxkindqv.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Topology PNRP Shadow AutoConnect] 'Start' = '00000002'
Изменения в файловой системе:
Создает следующие файлы:
- C:\womkximjdm\doxnxkindqv.exe
- C:\womkximjdm\kpjpcexim.exe
- C:\womkximjdm\tfq7iod
- %WINDIR%\womkximjdm\jzwldr7sn
- C:\womkximjdm\jzwldr7sn
- C:\womkximjdm\ou54u2pu5kkgamjznta.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\womkximjdm\kpjpcexim.exe
- C:\womkximjdm\doxnxkindqv.exe
Удаляет следующие файлы:
- C:\womkximjdm\ou54u2pu5kkgamjznta.exe
- %WINDIR%\womkximjdm\jzwldr7sn
Подменяет следующие файлы:
- %WINDIR%\womkximjdm\jzwldr7sn
Сетевая активность:
Подключается к:
- 'wh####rgeneral.net':80
TCP:
Запросы HTTP GET:
- http://wh####rgeneral.net/index.php
UDP:
- DNS ASK ri####eneral.net
- DNS ASK wh####rgeneral.net
Другое:
Создает и запускает на исполнение:
- 'C:\womkximjdm\kpjpcexim.exe' "c:\womkximjdm\doxnxkindqv.exe"
- 'C:\womkximjdm\doxnxkindqv.exe'
- 'C:\womkximjdm\ou54u2pu5kkgamjznta.exe'
