Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Foto' = 'regsvr32.exe /s %APPDATA%\Qaufi\yvbohe.dll'
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' HZLPoPa.dll,DllRegisterServer
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKLM>\Software\Microsoft\Internet Account Manager]
- [<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
Изменения в файловой системе
Создает следующие файлы
- C:\msdownld.tmp\as104661.tmp\tsk.dll
- %TEMP%\qegyuho.tmp
- %TEMP%\labaeqiz.tmp
- %TEMP%\vuodw.tmp
- %TEMP%\queki.tmp
- %TEMP%\edydxeu.tmp
- %TEMP%\yfetuv.tmp
- %TEMP%\fukuviuv.tmp
- %TEMP%\agvi.tmp
- %TEMP%\agmuviq.tmp
- %TEMP%\ymurcuo.tmp
- %TEMP%\foadehl.tmp
- %TEMP%\laxe.tmp
- %TEMP%\riqev.tmp
- %TEMP%\asco.tmp
- %TEMP%\qaihs.tmp
- %TEMP%\insonie.tmp
- %TEMP%\awwee.tmp
- %TEMP%\heywo.tmp
- %TEMP%\adel.tmp
- %APPDATA%\qaufi\yvbohe.dll
- %APPDATA%\qaen\opebak.nale
- %APPDATA%\bagay\peet.zisi
- %APPDATA%\nehaa\tiobm.ummur
- %APPDATA%\udolz\cuipp.evsor
- %APPDATA%\wogo\uqur.imn
- %TEMP%\tiuxdyso.tmp
- %TEMP%\ixus.tmp
- %APPDATA%\yguk\qiosx.kycy
- %TEMP%\piul.tmp
- %TEMP%\axowerzi.tmp
- %TEMP%\axowerzi.tmp-shm
- %TEMP%\xoikfo.tmp
- %TEMP%\moad.tmp
- %TEMP%\oqykidy.tmp
- %HOMEPATH%\documents\hzlpopa.dll
- %APPDATA%\bagay\peet.tmp
- %APPDATA%\miabu\neyvfo.rauge
Удаляет следующие файлы
- C:\msdownld.tmp\as104661.tmp\tsk.dll
- %TEMP%\asco.tmp
- %TEMP%\riqev.tmp
- %TEMP%\laxe.tmp
- %TEMP%\foadehl.tmp
- %TEMP%\ymurcuo.tmp
- %TEMP%\agmuviq.tmp
- %TEMP%\ixus.tmp
- %TEMP%\agvi.tmp
- %TEMP%\yfetuv.tmp
- %TEMP%\edydxeu.tmp
- %TEMP%\queki.tmp
- %TEMP%\vuodw.tmp
- %TEMP%\tiuxdyso.tmp
- %TEMP%\labaeqiz.tmp
- %TEMP%\insonie.tmp
- %TEMP%\qaihs.tmp
- %TEMP%\awwee.tmp
- %TEMP%\heywo.tmp
- %TEMP%\adel.tmp
- %TEMP%\oqykidy.tmp
- %TEMP%\moad.tmp
- %TEMP%\xoikfo.tmp
- %TEMP%\axowerzi.tmp
- %TEMP%\axowerzi.tmp-shm
- %TEMP%\piul.tmp
- %TEMP%\fukuviuv.tmp
- %TEMP%\qegyuho.tmp
- %APPDATA%\bagay\peet.tmp
Перемещает следующие файлы
- %APPDATA%\bagay\peet.zisi в %APPDATA%\bagay\peet.tmp
Подменяет следующие файлы
- %APPDATA%\bagay\peet.zisi
- %APPDATA%\bagay\peet.tmp
Сетевая активность
Подключается к
- 'mi###anttra.at':443
TCP
- 'de###rena.at':443
UDP
- DNS ASK de###rena.at
- DNS ASK mi###anttra.at
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' HZLPoPa.dll,DllRegisterServer' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net config workstation' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net view /all' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c net view /all /domain' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all
- '%WINDIR%\syswow64\ipconfig.exe' /all
- '%WINDIR%\syswow64\cmd.exe' /c net config workstation
- '%WINDIR%\syswow64\net.exe' config workstation
- '%WINDIR%\syswow64\net1.exe' config workstation
- '%WINDIR%\syswow64\cmd.exe' /c net view /all
- '%WINDIR%\syswow64\net.exe' view /all
- '%WINDIR%\syswow64\cmd.exe' /c net view /all /domain
- '%WINDIR%\syswow64\net.exe' view /all /domain
