Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'igighun' = '"%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe"'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- C:\tmp_dbg\dbg_mobsync.exe_3184_qbotdll.txt
- C:\tmp_dbg\dbg_mobsync.exe_3184.txt
- %APPDATA%\Microsoft\lzapnmnm.wpl
- C:\tmp_dbg\dbg_lzapnmnm.exe_3728.txt
- C:\tmp_dbg\dbg_lzapnmnm.exe_3176.txt
- %APPDATA%\Microsoft\Lzapnmnmz\lzapnmn.dat
- C:\tmp_dbg\dbg_<Имя файла>.exe_2928.txt
- %HOMEPATH%\svthggaarzralvizqwxft.vbs
- %HOMEPATH%\vmvrfupmdnrbocorg.vbs
Удаляет следующие файлы:
- %HOMEPATH%\svthggaarzralvizqwxft.vbs
Другое:
Создает и запускает на исполнение:
- '%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe'
- '%APPDATA%\Microsoft\Lzapnmnmz\lzapnmnm.exe' /W
- '<SYSTEM32>\cscript.exe' "%HOMEPATH%\vmvrfupmdnrbocorg.vbs"
- '<SYSTEM32>\cscript.exe' "%HOMEPATH%\svthggaarzralvizqwxft.vbs"
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /tn {C3D57B53-2F3A-4BB8-A0AE-C488B9033207} /tr "cmd.exe /C \"start /MIN <SYSTEM32>\cscript.exe //E:javascript \"%APPDATA%\Microsoft\lzapnmnm.wpl\"\"" /sc WEEKLY /D TUE /ST 12:00:00 /ru ...
- '<SYSTEM32>\mobsync.exe'
