Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\Microsoft\Windows\CurrentVersion\Run] '7DT9YVL7ILTY' = '<SYSTEM32>\cmd.exe /k cd\ & cd 7DT9YVL7ILTY & 7DT9YVL7ILTY.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'n0R9C0f7' = '<SYSTEM32>\cmd.exe /k cd\ & cd 7DT9YVL7ILTY\ & cmoiwdobnt.exe'
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\7dt9yvl7ilty_7dt9yvl7ilty_7dt9yvl7ilty.zip
- C:\7dt9yv~1\a.png
- C:\7dt9yv~1\msvcp120.dll
- C:\7dt9yv~1\msvcr120.dll
- C:\7dt9yv~1\rundll32.exe
- C:\7dt9yvl7ilty\cmoiwdobnt.exe
- C:\7dt9yvl7ilty\avira.oe.nativecore.dll.cfg
Удаляет следующие файлы
- C:\users\public\documents\7dt9yvl7ilty_7dt9yvl7ilty_7dt9yvl7ilty.zip
Сетевая активность
TCP
Запросы HTTP GET
- http://bl#####20.servebeer.com/mdl/img.jpg
UDP
- DNS ASK bl#####20.servebeer.com
- DNS ASK docs.google.com
- DNS ASK cl######ss.webcindario.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Aplicativo ItaГє'
- ClassName: 'SunAwtFrame' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /k cd\ & cd c:\7DT9YVL7ILTY & 7DT9YVL7ILTY.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /k cd\ & cd c:\7DT9YVL7ILTY & 7DT9YVL7ILTY.exe
