Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Initiator Client User Connect' = 'C:\fzc50pmpg0x\paguzxaa.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Microsoft NetBIOS Mapper] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Microsoft NetBIOS Mapper] 'ImagePath' = 'C:\fzc50pmpg0x\paguzxaa.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\fzc50pmpg0x\tpsmathl
- C:\fzc50pmpg0x\tpsmathl
- C:\fzc50pmpg0x\fkrwaln4mr1bunjwpgmwzepb.exe
- C:\fzc50pmpg0x\paguzxaa.exe
- C:\fzc50pmpg0x\le0fmbjdep.exe
- C:\fzc50pmpg0x\cufkhjmz
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\fzc50pmpg0x\paguzxaa.exe
- C:\fzc50pmpg0x\le0fmbjdep.exe
Удаляет следующие файлы:
- %WINDIR%\fzc50pmpg0x\tpsmathl
- C:\fzc50pmpg0x\fkrwaln4mr1bunjwpgmwzepb.exe
Подменяет следующие файлы:
- %WINDIR%\fzc50pmpg0x\tpsmathl
Сетевая активность:
Подключается к:
- 'na##top.ru':80
- 'sp##tnav.ru':80
- 'gr###factory.cn':80
- 'un###lgrain.org':80
- 'to###tosales.ru':80
TCP:
Запросы HTTP GET:
- http://na##top.ru/index.php
- http://sp##tnav.ru/index.php
- http://gr###factory.cn/index.php
- http://un###lgrain.org/index.php
- http://to###tosales.ru/index.php
UDP:
- DNS ASK na##top.ru
- DNS ASK ha####nhalflion.net
- DNS ASK cl#####ortswomen.com
- DNS ASK sc####ainbow.net
- DNS ASK si###ypeas.net
- DNS ASK sp##tnav.ru
- DNS ASK gr###factory.cn
- DNS ASK un###lgrain.org
- DNS ASK to###tosales.ru
- DNS ASK ca#####eeitinthecup.org
Другое:
Создает и запускает на исполнение:
- 'C:\fzc50pmpg0x\fkrwaln4mr1bunjwpgmwzepb.exe'
- 'C:\fzc50pmpg0x\paguzxaa.exe'
- 'C:\fzc50pmpg0x\le0fmbjdep.exe' "c:\fzc50pmpg0x\paguzxaa.exe"
