Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'd3dx32' = 'C:\Media\System.lnk'
Создает или изменяет следующие файлы
- %HOMEPATH%\start menu\programs\startup\system.lnk
Изменения в файловой системе
Создает следующие файлы
- C:\media\w9rdhjkzn1j55kvw14bu.exe
- C:\media\vvoq6dnhomcoalwetuci7fmcnsgyqq.vbs
- C:\media\0jnvpkn0naizyneaddx3niu2qnlm40.bat
- C:\media\f5mfitqserzkcyl9jkhlsnzpqg1twg.bat
- C:\media\vmcheck32.dll
- C:\media\fontreview.exe
- C:\media\system.vbe
- C:\media\system.lnk
- %HOMEPATH%\my documents\my pictures\bkphst32.exe
Сетевая активность
UDP
- DNS ASK qw###3.space
- DNS ASK ip##fo.io
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "C:\Media\vVoq6dNHoMCOaLWEtUCi7fMCNsGYQq.vbs"
- 'C:\media\w9rdhjkzn1j55kvw14bu.exe' -pf351351bfff39b5b27948bda709ea44dafd8d2b1
- '<SYSTEM32>\wscript.exe' "C:\Media\System.vbe"
- 'C:\media\fontreview.exe'
- '<SYSTEM32>\cmd.exe' /c ""C:\Media\0Jnvpkn0nAiZynEaDdx3nIU2qNlM40.bat" "' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""C:\Media\f5mFitQSeRZkCYL9jKhlSnzPQG1twg.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""C:\Media\0Jnvpkn0nAiZynEaDdx3nIU2qNlM40.bat" "
- '<SYSTEM32>\cmd.exe' /c ""C:\Media\f5mFitQSeRZkCYL9jKhlSnzPQG1twg.bat" "
