Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Net.Tcp Endpoint Computer' = 'C:\axkzrthdjhjsidm\jsgrczsvhp.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Intelligent Defragmenter Connections] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Intelligent Defragmenter Connections] 'ImagePath' = 'C:\axkzrthdjhjsidm\jsgrczsvhp.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\axkzrthdjhjsidm\cuxaenmzwkly
- C:\axkzrthdjhjsidm\cuxaenmzwkly
- C:\axkzrthdjhjsidm\ss4qojl2yhrymy.exe
- C:\axkzrthdjhjsidm\jsgrczsvhp.exe
- C:\axkzrthdjhjsidm\tyrkgtfy.exe
- C:\axkzrthdjhjsidm\yisdsf
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\axkzrthdjhjsidm\jsgrczsvhp.exe
- C:\axkzrthdjhjsidm\tyrkgtfy.exe
Удаляет следующие файлы:
- %WINDIR%\axkzrthdjhjsidm\cuxaenmzwkly
- C:\axkzrthdjhjsidm\ss4qojl2yhrymy.exe
Подменяет следующие файлы:
- %WINDIR%\axkzrthdjhjsidm\cuxaenmzwkly
Сетевая активность:
Подключается к:
- '86.#8.69.58':22437
- '2.##.19.50':35833
- '20#.#7.225.58':33073
- '20#.#36.131.186':52293
- '10#.#29.186.201':47507
- '73.##.228.84':36884
- '17#.#50.138.208':20422
- '21#.#07.110.82':26314
- '21#.#65.0.136':35711
Другое:
Создает и запускает на исполнение:
- 'C:\axkzrthdjhjsidm\ss4qojl2yhrymy.exe'
- 'C:\axkzrthdjhjsidm\jsgrczsvhp.exe'
- 'C:\axkzrthdjhjsidm\tyrkgtfy.exe' "c:\axkzrthdjhjsidm\jsgrczsvhp.exe"
