Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'fd9edd8ad33740ccb68ac1c6baa23a09' = '%APPDATA%\wxrvlx\wxrvlx.exe'
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
- [<HKCU>\Software\Beyluxe Messenger]
- [<HKCU>\Software\IMVU]
- [<HKCU>\Software\Paltalk]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %APPDATA%\opera software\opera stable\login data
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\wxrvlx\wxrvlx.exe
- %APPDATA%\zdq
- %TEMP%\tmp3848.tmp
- %TEMP%\tmp3878.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://bo#.####ismyipaddress.com/
UDP
- DNS ASK bo#.####ismyipaddress.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\wxrvlx\wxrvlx.exe'
