Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Kaqenua' = 'regsvr32.exe /s %APPDATA%\Ykgoih\obohaph.dll'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' VNlBtdM.dll,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKLM>\Software\Microsoft\Internet Account Manager]
- [<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Изменения в файловой системе
Создает следующие файлы
- C:\msdownld.tmp\as103886.tmp\dws.dll
- %TEMP%\ynug.tmp
- %TEMP%\voydcov.tmp
- %TEMP%\ewetbo.tmp
- %TEMP%\ezluh.tmp
- %TEMP%\xesoeqa.tmp
- %TEMP%\exew.tmp
- %APPDATA%\petano\ygkul.tmp
- %TEMP%\ipad.tmp
- %TEMP%\otreutxy.tmp
- %TEMP%\ymofixo.tmp
- %TEMP%\yfyxrece.tmp
- %TEMP%\hyaredx.tmp
- %TEMP%\qeonir.tmp
- %TEMP%\raxo.tmp
- %TEMP%\ugod.tmp
- %TEMP%\oxwug.tmp
- %TEMP%\yqtoyx.tmp
- %TEMP%\nameet.tmp
- %TEMP%\xyidcyon.tmp
- %APPDATA%\ykgoih\obohaph.dll
- %APPDATA%\muyke\pohiq.mawub
- %APPDATA%\petano\ygkul.ycsym
- %APPDATA%\kyevfe\yxzah.miz
- %APPDATA%\wate\niahv.vo
- %APPDATA%\umos\usliruzi.ocix
- %TEMP%\luyrvyt.tmp
- %TEMP%\ozogo.tmp
- %APPDATA%\huahr\uhhi.baopy
- %TEMP%\ugulepa.tmp
- %TEMP%\foir.tmp
- %TEMP%\foir.tmp-shm
- %TEMP%\vaop.tmp
- %TEMP%\erivh.tmp
- %TEMP%\pauf.tmp
- %HOMEPATH%\documents\vnlbtdm.dll
- %TEMP%\kyolget.tmp
- %APPDATA%\deicyk\risoe.xoyxa
Удаляет следующие файлы
- C:\msdownld.tmp\as103886.tmp\dws.dll
- %TEMP%\qeonir.tmp
- %TEMP%\hyaredx.tmp
- %TEMP%\yfyxrece.tmp
- %TEMP%\ymofixo.tmp
- %TEMP%\otreutxy.tmp
- %TEMP%\ozogo.tmp
- %TEMP%\ipad.tmp
- %TEMP%\exew.tmp
- %TEMP%\xesoeqa.tmp
- %TEMP%\ezluh.tmp
- %TEMP%\ewetbo.tmp
- %TEMP%\voydcov.tmp
- %TEMP%\raxo.tmp
- %TEMP%\ynug.tmp
- %TEMP%\ugod.tmp
- %TEMP%\yqtoyx.tmp
- %TEMP%\nameet.tmp
- %TEMP%\xyidcyon.tmp
- %TEMP%\pauf.tmp
- %TEMP%\erivh.tmp
- %APPDATA%\petano\ygkul.tmp
- %TEMP%\vaop.tmp
- %TEMP%\foir.tmp
- %TEMP%\foir.tmp-shm
- %TEMP%\ugulepa.tmp
- %TEMP%\kyolget.tmp
- %TEMP%\oxwug.tmp
- %TEMP%\luyrvyt.tmp
Перемещает следующие файлы
- %APPDATA%\petano\ygkul.ycsym в %APPDATA%\petano\ygkul.tmp
Подменяет следующие файлы
- %APPDATA%\petano\ygkul.ycsym
- %APPDATA%\petano\ygkul.tmp
Сетевая активность
Подключается к
- 'mi###anttra.at':443
TCP
- 'og###dedibl.at':443
UDP
- DNS ASK og###dedibl.at
- DNS ASK mi###anttra.at
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' VNlBtdM.dll,DllRegisterServer' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net config workstation' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net view /all' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net view /all /domain' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all
- '%WINDIR%\syswow64\ipconfig.exe' /all
- '%WINDIR%\syswow64\cmd.exe' /c net config workstation
- '%WINDIR%\syswow64\net.exe' config workstation
- '%WINDIR%\syswow64\net1.exe' config workstation
- '%WINDIR%\syswow64\cmd.exe' /c net view /all
- '%WINDIR%\syswow64\net.exe' view /all
- '%WINDIR%\syswow64\cmd.exe' /c net view /all /domain
- '%WINDIR%\syswow64\net.exe' view /all /domain
