Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\qirugddl.exe
- <SYSTEM32>\xyjlimxu.exe
- <SYSTEM32>\ghhzskuo.exe
- <SYSTEM32>\sxymifso.exe
- <SYSTEM32>\ydpmwusv.exe
- <SYSTEM32>\heygttbn.exe
- <SYSTEM32>\qfcbhhhe.exe
- <SYSTEM32>\gdywetdu.exe
- <SYSTEM32>\ybqsspmg.exe
- <SYSTEM32>\tfsuvztw.exe
- <SYSTEM32>\emsvnkvj.exe
- <SYSTEM32>\mosvnllr.exe
- <SYSTEM32>\nrnvfygg.exe
- <SYSTEM32>\xdwnqhgq.exe
- <SYSTEM32>\acjppjef.exe
- <SYSTEM32>\wxkyxpbr.exe
- <SYSTEM32>\xkwyavjo.exe
- <SYSTEM32>\rdmifpdg.exe
- <SYSTEM32>\cuegnaoy.exe
- <SYSTEM32>\xwhgfbtj.exe
- <SYSTEM32>\wlufvilm.exe
- <SYSTEM32>\spmoiozi.exe
- <SYSTEM32>\sykajlam.exe
- <SYSTEM32>\fqofojky.exe
- <SYSTEM32>\uvkbvcjg.exe
- <SYSTEM32>\daiovwty.exe
- <SYSTEM32>\ymiqfxlu.exe
- <SYSTEM32>\nlpwdker.exe
- <SYSTEM32>\fjzolmvl.exe
- <SYSTEM32>\rctovrbs.exe
- <SYSTEM32>\evnnmcxk.exe
- <SYSTEM32>\scpnwtzb.exe
- <SYSTEM32>\nkftaeid.exe
- <SYSTEM32>\rsyunpne.exe
- <SYSTEM32>\hiistuyr.exe
- <SYSTEM32>\rflgdipr.exe
- <SYSTEM32>\sushcbsr.exe
- <SYSTEM32>\qovikkom.exe
- <SYSTEM32>\yuxsamwl.exe
- <SYSTEM32>\dbhmnxuq.exe
- <SYSTEM32>\xtqqwkvs.exe
- <SYSTEM32>\rmbtnbhe.exe
- <SYSTEM32>\ntlbjaac.exe
- <SYSTEM32>\bfxtuipn.exe
- <SYSTEM32>\eqezxxkf.exe
- <SYSTEM32>\youbdoyh.exe
- <SYSTEM32>\nizsmgpg.exe
- <SYSTEM32>\juvrvvso.exe
- <SYSTEM32>\hqhcwaav.exe
- <SYSTEM32>\zfeohcrk.exe
- <SYSTEM32>\mixippnv.exe
- <SYSTEM32>\mbewyamp.exe
- <SYSTEM32>\dfvcdxsw.exe
- <SYSTEM32>\tckwbpml.exe
- <SYSTEM32>\apisbhfo.exe
- <SYSTEM32>\afuiohnk.exe
- <SYSTEM32>\zxleromv.exe
- <SYSTEM32>\fwwkfckp.exe
- <SYSTEM32>\ouxjfdwo.exe
- <SYSTEM32>\ptvhxtpt.exe
- <SYSTEM32>\eisosfte.exe
- <SYSTEM32>\mdprusph.exe
- <SYSTEM32>\uvzpobml.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\xyjlimxu.exe
- <SYSTEM32>\qirugddl.exe
- <SYSTEM32>\gdywetdu.exe
- <SYSTEM32>\ghhzskuo.exe
- <SYSTEM32>\heygttbn.exe
- <SYSTEM32>\ydpmwusv.exe
- <SYSTEM32>\sxymifso.exe
- <SYSTEM32>\qfcbhhhe.exe
- <SYSTEM32>\tfsuvztw.exe
- <SYSTEM32>\ybqsspmg.exe
- <SYSTEM32>\scpnwtzb.exe
- <SYSTEM32>\emsvnkvj.exe
- <SYSTEM32>\xdwnqhgq.exe
- <SYSTEM32>\nrnvfygg.exe
- <SYSTEM32>\mosvnllr.exe
- <SYSTEM32>\acjppjef.exe
- <SYSTEM32>\rdmifpdg.exe
- <SYSTEM32>\xkwyavjo.exe
- <SYSTEM32>\fqofojky.exe
- <SYSTEM32>\cuegnaoy.exe
- <SYSTEM32>\spmoiozi.exe
- <SYSTEM32>\wlufvilm.exe
- <SYSTEM32>\xwhgfbtj.exe
- <SYSTEM32>\sykajlam.exe
- <SYSTEM32>\daiovwty.exe
- <SYSTEM32>\uvkbvcjg.exe
- <SYSTEM32>\wxkyxpbr.exe
- <SYSTEM32>\ymiqfxlu.exe
- <SYSTEM32>\rctovrbs.exe
- <SYSTEM32>\fjzolmvl.exe
- <SYSTEM32>\nlpwdker.exe
- <SYSTEM32>\evnnmcxk.exe
- <SYSTEM32>\rsyunpne.exe
- <SYSTEM32>\nkftaeid.exe
- <SYSTEM32>\dbhmnxuq.exe
- <SYSTEM32>\hiistuyr.exe
- <SYSTEM32>\qovikkom.exe
- <SYSTEM32>\sushcbsr.exe
- <SYSTEM32>\rflgdipr.exe
- <SYSTEM32>\yuxsamwl.exe
- <SYSTEM32>\rmbtnbhe.exe
- <SYSTEM32>\xtqqwkvs.exe
- <SYSTEM32>\ntlbjaac.exe
- <SYSTEM32>\youbdoyh.exe
- <SYSTEM32>\eqezxxkf.exe
- <SYSTEM32>\bfxtuipn.exe
- <SYSTEM32>\nizsmgpg.exe
- <SYSTEM32>\zfeohcrk.exe
- <SYSTEM32>\hqhcwaav.exe
- <SYSTEM32>\afuiohnk.exe
- <SYSTEM32>\mixippnv.exe
- <SYSTEM32>\tckwbpml.exe
- <SYSTEM32>\dfvcdxsw.exe
- <SYSTEM32>\mbewyamp.exe
- <SYSTEM32>\apisbhfo.exe
- <SYSTEM32>\fwwkfckp.exe
- <SYSTEM32>\zxleromv.exe
- <SYSTEM32>\juvrvvso.exe
- <SYSTEM32>\ouxjfdwo.exe
- <SYSTEM32>\mdprusph.exe
- <SYSTEM32>\eisosfte.exe
- <SYSTEM32>\ptvhxtpt.exe
- <SYSTEM32>\uvzpobml.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\qirugddl.exe
- <SYSTEM32>\xyjlimxu.exe
- <SYSTEM32>\ghhzskuo.exe
- <SYSTEM32>\sxymifso.exe
- <SYSTEM32>\ydpmwusv.exe
- <SYSTEM32>\heygttbn.exe
- <SYSTEM32>\qfcbhhhe.exe
- <SYSTEM32>\gdywetdu.exe
- <SYSTEM32>\ybqsspmg.exe
- <SYSTEM32>\tfsuvztw.exe
- <SYSTEM32>\emsvnkvj.exe
- <SYSTEM32>\mosvnllr.exe
- <SYSTEM32>\nrnvfygg.exe
- <SYSTEM32>\xdwnqhgq.exe
- <SYSTEM32>\acjppjef.exe
- <SYSTEM32>\wxkyxpbr.exe
- <SYSTEM32>\xkwyavjo.exe
- <SYSTEM32>\rdmifpdg.exe
- <SYSTEM32>\cuegnaoy.exe
- <SYSTEM32>\xwhgfbtj.exe
- <SYSTEM32>\wlufvilm.exe
- <SYSTEM32>\spmoiozi.exe
- <SYSTEM32>\sykajlam.exe
- <SYSTEM32>\fqofojky.exe
- <SYSTEM32>\uvkbvcjg.exe
- <SYSTEM32>\daiovwty.exe
- <SYSTEM32>\ymiqfxlu.exe
- <SYSTEM32>\nlpwdker.exe
- <SYSTEM32>\fjzolmvl.exe
- <SYSTEM32>\rctovrbs.exe
- <SYSTEM32>\evnnmcxk.exe
- <SYSTEM32>\scpnwtzb.exe
- <SYSTEM32>\nkftaeid.exe
- <SYSTEM32>\rsyunpne.exe
- <SYSTEM32>\hiistuyr.exe
- <SYSTEM32>\rflgdipr.exe
- <SYSTEM32>\sushcbsr.exe
- <SYSTEM32>\qovikkom.exe
- <SYSTEM32>\yuxsamwl.exe
- <SYSTEM32>\dbhmnxuq.exe
- <SYSTEM32>\xtqqwkvs.exe
- <SYSTEM32>\rmbtnbhe.exe
- <SYSTEM32>\ntlbjaac.exe
- <SYSTEM32>\bfxtuipn.exe
- <SYSTEM32>\eqezxxkf.exe
- <SYSTEM32>\youbdoyh.exe
- <SYSTEM32>\nizsmgpg.exe
- <SYSTEM32>\juvrvvso.exe
- <SYSTEM32>\hqhcwaav.exe
- <SYSTEM32>\zfeohcrk.exe
- <SYSTEM32>\mixippnv.exe
- <SYSTEM32>\mbewyamp.exe
- <SYSTEM32>\dfvcdxsw.exe
- <SYSTEM32>\tckwbpml.exe
- <SYSTEM32>\apisbhfo.exe
- <SYSTEM32>\afuiohnk.exe
- <SYSTEM32>\zxleromv.exe
- <SYSTEM32>\fwwkfckp.exe
- <SYSTEM32>\ouxjfdwo.exe
- <SYSTEM32>\ptvhxtpt.exe
- <SYSTEM32>\eisosfte.exe
- <SYSTEM32>\mdprusph.exe
- <SYSTEM32>\uvzpobml.exe
Удаляет следующие файлы:
- %TEMP%\~DF199F.tmp
- %TEMP%\~DF3CDD.tmp
- %TEMP%\~DF794F.tmp
- %TEMP%\~DFD586.tmp
- %TEMP%\~DF524C.tmp
- %TEMP%\~DF7503.tmp
- %TEMP%\~DFB1A5.tmp
- %TEMP%\~DF9CF9.tmp
- %TEMP%\~DFA030.tmp
- %TEMP%\~DFED90.tmp
- %TEMP%\~DF1336.tmp
- %TEMP%\~DF8C0B.tmp
- %TEMP%\~DFD89D.tmp
- %TEMP%\~DFD89.tmp
- %TEMP%\~DF4091.tmp
- %TEMP%\~DF2752.tmp
- %TEMP%\~DF6326.tmp
- %TEMP%\~DF8725.tmp
- %TEMP%\~DF216.tmp
- %TEMP%\~DF5F41.tmp
- %TEMP%\~DFA1E9.tmp
- %TEMP%\~DFC7F0.tmp
- %TEMP%\~DFCB72.tmp
- %TEMP%\~DFADF1.tmp
- %TEMP%\~DFF27E.tmp
- %TEMP%\~DF166C.tmp
- %TEMP%\~DF8A8F.tmp
- %TEMP%\~DFEEE8.tmp
- %TEMP%\~DF2A76.tmp
- %TEMP%\~DF4EA1.tmp
- %TEMP%\~DF4E0A.tmp
- %TEMP%\~DF2B56.tmp
- %TEMP%\~DF6892.tmp
- %TEMP%\~DF8ADD.tmp
- %TEMP%\~DF775.tmp
- %TEMP%\~DF6406.tmp
- %TEMP%\~DF9FDA.tmp
- %TEMP%\~DFC2B1.tmp
- %TEMP%\~DFC793.tmp
- %TEMP%\~DFB24B.tmp
- %TEMP%\~DFEF4A.tmp
- %TEMP%\~DF118B.tmp
- %TEMP%\~DF8F84.tmp
- %TEMP%\~DFEACF.tmp
- %TEMP%\~DF3049.tmp
- %TEMP%\~DF525F.tmp
- %TEMP%\~DF511A.tmp
- %TEMP%\~DF749A.tmp
- %TEMP%\~DFB8B1.tmp
- %TEMP%\~DF1533.tmp
- %TEMP%\~DF8FB3.tmp
- %TEMP%\~DFB540.tmp
- %TEMP%\~DFF19C.tmp
- %TEMP%\~DFDCD6.tmp
- %TEMP%\~DFE026.tmp
- %TEMP%\~DF3CA.tmp
- %TEMP%\~DF4014.tmp
- %TEMP%\~DF9C44.tmp
- %TEMP%\~DF1878.tmp
- %TEMP%\~DF3BD8.tmp
- %TEMP%\~DF784F.tmp
- %TEMP%\~DF3AEB.tmp
- %TEMP%\~DF2F1A.tmp
- %TEMP%\~DF4E3A.tmp
- %TEMP%\~DF960A.tmp
- %TEMP%\~DFEF53.tmp
- %TEMP%\~DF72CA.tmp
- %TEMP%\~DF912D.tmp
- %TEMP%\~DFD168.tmp
- %TEMP%\~DFB41B.tmp
- %TEMP%\~DFB8E7.tmp
- %TEMP%\~DFDB38.tmp
- %TEMP%\~DF1754.tmp
- %TEMP%\~DF7191.tmp
- %TEMP%\~DFF414.tmp
- %TEMP%\~DF136E.tmp
- %TEMP%\~DF52C0.tmp
- %TEMP%\~DF4A95.tmp
- %TEMP%\~DF7D15.tmp
- %TEMP%\~DFA988.tmp
- %TEMP%\~DF2A98.tmp
- %TEMP%\~DF77F2.tmp
- %TEMP%\~DFCE5B.tmp
- %TEMP%\~DFE3EF.tmp
- %TEMP%\~DFE957.tmp
- %TEMP%\~DFC62.tmp
- %TEMP%\~DFCBE6.tmp
- %TEMP%\~DF2A52.tmp
- %TEMP%\~DFAE57.tmp
- %TEMP%\~DF78E.tmp
- %TEMP%\~DF4F56.tmp
- %TEMP%\~DF6E6E.tmp
- %TEMP%\~DF3A40.tmp
- %TEMP%\~DFF59.tmp
- %TEMP%\~DF547D.tmp
- %TEMP%\~DF77E7.tmp
- %TEMP%\~DFEC79.tmp
- %TEMP%\~DF50C4.tmp
- %TEMP%\~DF8CB0.tmp
- %TEMP%\~DFB09C.tmp
- %TEMP%\~DFB3EF.tmp
- %TEMP%\~DF9EBE.tmp
- %TEMP%\~DFDB2A.tmp
- %TEMP%\~DFFE6A.tmp
- %TEMP%\~DF7B7D.tmp
- %TEMP%\~DFD702.tmp
- %TEMP%\~DF1440.tmp
- %TEMP%\~DF3709.tmp
- %TEMP%\~DF3EBC.tmp
- %TEMP%\~DF616A.tmp
- %TEMP%\~DF9E5D.tmp
- %TEMP%\~DF1FC.tmp
- %TEMP%\~DF7774.tmp
- %TEMP%\~DF9A10.tmp
- %TEMP%\~DFDEB7.tmp
- %TEMP%\~DFC15F.tmp
- %TEMP%\~DFC4AB.tmp
- %TEMP%\~DFE879.tmp
- %TEMP%\~DF2CDD.tmp
- %TEMP%\~DF88F1.tmp
- %TEMP%\~DF5C6.tmp
- %TEMP%\~DF29AF.tmp
- %TEMP%\~DF664D.tmp
Сетевая активность:
Подключается к:
- 'localhost':1120
- 'localhost':1122
- 'localhost':1116
- 'localhost':1118
- 'localhost':1128
- 'localhost':1130
- 'localhost':1124
- 'localhost':1126
- 'localhost':1104
- 'localhost':1106
- 'localhost':1100
- 'localhost':1102
- 'localhost':1112
- 'localhost':1114
- 'localhost':1108
- 'localhost':1110
- 'localhost':1152
- 'localhost':1154
- 'localhost':1148
- 'localhost':1150
- 'localhost':1160
- 'localhost':1162
- 'localhost':1156
- 'localhost':1158
- 'localhost':1136
- 'localhost':1138
- 'localhost':1132
- 'localhost':1134
- 'localhost':1144
- 'localhost':1146
- 'localhost':1140
- 'localhost':1142
- 'localhost':1056
- 'localhost':1058
- 'localhost':1052
- 'localhost':1054
- 'localhost':1064
- 'localhost':1066
- 'localhost':1060
- 'localhost':1062
- 'localhost':1040
- 'localhost':1042
- 'bl##.naver.com':80
- 'localhost':1038
- 'localhost':1048
- 'localhost':1050
- 'localhost':1044
- 'localhost':1046
- 'localhost':1088
- 'localhost':1090
- 'localhost':1084
- 'localhost':1086
- 'localhost':1096
- 'localhost':1098
- 'localhost':1092
- 'localhost':1094
- 'localhost':1072
- 'localhost':1074
- 'localhost':1068
- 'localhost':1070
- 'localhost':1080
- 'localhost':1082
- 'localhost':1076
- 'localhost':1078
TCP:
Запросы HTTP GET:
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
