Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\YouzifwuV1] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\YouzifwuV1] 'ImagePath' = '%ProgramFiles(x86)%\YZWallpaper\Svparte.exe 01'
- [<HKLM>\System\CurrentControlSet\Services\uziwallSvcHt] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\uziwallSvcHt] 'ImagePath' = '%WINDIR%\SysWOW64\svchost.exe -k YzWallWork'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\uziwallSvcHt\Parameters] 'ServiceDll' = '%APPDATA%\uziwallSvcHt\Sverdl.dll'
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKLM>\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\yzbz_sp3.0.3-2.gif
- %TEMP%\history_20200611_022739
- %ProgramFiles(x86)%\yzwallpaper\yzwallpaper.ini
- %ProgramFiles(x86)%\yzwallpaper\player\swscale-5.dll
- %ProgramFiles(x86)%\yzwallpaper\player\swresample-3.dll
- %ProgramFiles(x86)%\yzwallpaper\sverdl.dll
- %ProgramFiles(x86)%\yzwallpaper\skeply64.dll
- %ProgramFiles(x86)%\yzwallpaper\combtion.dll
- %ProgramFiles(x86)%\yzwallpaper\skeply.dll
- %ProgramFiles(x86)%\yzwallpaper\player\postproc-55.dll
- %ProgramFiles(x86)%\yzwallpaper\ovelater64.dll
- %ProgramFiles(x86)%\yzwallpaper\ovelater.dll
- %ProgramFiles(x86)%\yzwallpaper\player\libbluray.dll
- %ProgramFiles(x86)%\yzwallpaper\player\intelquicksyncdecoder.dll
- %ProgramFiles(x86)%\yzwallpaper\enginer.dll
- %ProgramFiles(x86)%\yzwallpaper\player\sdl2.dll
- %ProgramFiles(x86)%\yzwallpaper\combtion64.dll
- %TEMP%\history_20200611_022739-shm
- %LOCALAPPDATA%low\yzwallpaper\config\tt2.gif.temp
- %WINDIR%\temp\yzmntip.7z
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\0ps72r2m\yzmntip[1].7z
- %ProgramFiles(x86)%\yzwallpaper\yzhep.exe
- %WINDIR%\temp\yzhep.7z
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\yzhep[1].7z
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\bubblespop\checktotips.ini
- %ProgramFiles(x86)%\yzwallpaper\config.ini
- %LOCALAPPDATA%low\yzwallpaper\config\config.ini
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\tt2[2].gif
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\yzwallsvchost\config\tt2.gif.temp
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\tt2[1].gif
- %APPDATA%\uziwallsvcht\yzwallhost.ini
- %APPDATA%\uziwallsvcht\sverdl.dll
- %APPDATA%\uziwallsvcht\sverse.exe
- %LOCALAPPDATA%low\bubblespop\checktotips.ini
- %ProgramFiles(x86)%\yzwallpaper\player\avutil-56.dll
- %ProgramFiles(x86)%\yzwallpaper\player\avresample-4.dll
- %ProgramFiles(x86)%\yzwallpaper\player\avformat-58.dll
- %ProgramFiles(x86)%\yzwallpaper\chronoer.exe
- %ProgramFiles(x86)%\yzwallpaper\resource\__.skin
- %ProgramFiles(x86)%\yzwallpaper\resource\___.skin
- %ProgramFiles(x86)%\yzwallpaper\resource\default.skin
- %ProgramFiles(x86)%\yzwallpaper\player\lavvideo.ax
- %ProgramFiles(x86)%\yzwallpaper\duraer.exe
- %ProgramFiles(x86)%\yzwallpaper\player\lavsplitter.ax
- %ProgramFiles(x86)%\yzwallpaper\resource\skin.xml
- %ProgramFiles(x86)%\yzwallpaper\player\lavfilters.dependencies.manifest
- %CommonProgramFiles(x86)%\yzwallpaper\yzwallpaper.ini
- %TEMP%\yzwallpaper-47183.7z
- %LOCALAPPDATA%low\yzwallpaper\config\usevestige.ini
- %TEMP%\setup_yzbzupdsp.exe
- %ProgramFiles(x86)%\yzwallpaper\player\lavaudio.ax
- %ProgramFiles(x86)%\yzwallpaper\elapseder.exe
- %ProgramFiles(x86)%\yzwallpaper\config.exe
- %ProgramFiles(x86)%\yzwallpaper\mutnly.exe
- %ProgramFiles(x86)%\yzwallpaper\player\avfilter-7.dll
- %ProgramFiles(x86)%\yzwallpaper\svparte.exe
- %ProgramFiles(x86)%\yzwallpaper\player\avdevice-58.dll
- %ProgramFiles(x86)%\yzwallpaper\player\avcodec-58.dll
- %ProgramFiles(x86)%\yzwallpaper\abhash.dll
- %ProgramFiles(x86)%\yzwallpaper\wall.exe
- %ProgramFiles(x86)%\yzwallpaper\userpage.exe
- %ProgramFiles(x86)%\yzwallpaper\uninst.exe
- %ProgramFiles(x86)%\yzwallpaper\sverse.exe
- %ProgramFiles(x86)%\yzwallpaper\myupd.exe
- %ProgramFiles(x86)%\yzwallpaper\screen.exe
- %ProgramFiles(x86)%\yzwallpaper\sconder.exe
- %ProgramFiles(x86)%\yzwallpaper\pracal64.exe
- %ProgramFiles(x86)%\yzwallpaper\pracal.exe
- %ProgramFiles(x86)%\yzwallpaper\pothook.exe
- %ProgramFiles(x86)%\yzwallpaper\player.exe
- %ProgramFiles(x86)%\yzwallpaper\yzmntip.exe
- %LOCALAPPDATA%low\windowpop\config.ini
Удаляет следующие файлы
- %TEMP%\setup_yzbzupdsp.exe
- %TEMP%\history_20200611_022739
- %TEMP%\yzwallpaper-47183.7z
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\tt2[1].gif
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\tt2[2].gif
Перемещает следующие файлы
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\yzwallsvchost\config\tt2.gif.temp в %WINDIR%\syswow64\config\systemprofile\appdata\locallow\yzwallsvchost\config\tt2.gif
- %LOCALAPPDATA%low\yzwallpaper\config\tt2.gif.temp в %LOCALAPPDATA%low\yzwallpaper\config\tt2.gif
Подменяет следующие файлы
- %TEMP%\history_20200611_022739
Сетевая активность
TCP
Запросы HTTP GET
- http://up####.znshuru.com/wall/yz/md/7ed80e948bdb37281b545b75653cbde8.dat
- http://do##.#nshuru.com/wall/yz/md/031aa55fd1be66ea35e7520ace9c6d29.dat?ra########
- http://do##.#nshuru.com/wall/yz/files/YZMntip.7z?13###
- http://do##.#nshuru.com/wall/yz/files/YZHep.7z?76###
- http://tj###.znshuru.com/ts.php?da###########################################################################################################################
- http://do##.#nshuru.com/wall/yz/md/066fbedc6d8431c376479a5a98f892c6.dat?ra########
- http://tj###.znshuru.com/pd-sp.php?ui###########################################################################################
- http://tj###.znshuru.com/ts.php?da#######################################################################################################################################
- http://do##.#nshuru.com/wall/yz/md/ca51d0f31fc85c7cb47c99710fb73732.dat
- http://tj###.znshuru.com/pipil.php
- http://do##.#nshuru.com/wall/yz/md/668f6ac9442f9f92b3b2d97e98e967c7.dat
- http://tj###.znshuru.com/pd-sp.php?ui####################################################################################################
- http://do##.#nshuru.com/wall/yz/md/059b1ecf1167fe5f61b4b4c58e63bc98.dat?ra########
- http://do##.#nshuru.com/wall/yz/md/f0655be16ee8f3265df6d2d275e8fc6a.dat?ra########
- http://in#.#nshuru.com/ins.php?da################################################################################################################################################################...
- http://do#.#nshuru.com/dot.php?da###############################################################################################################
- http://co####.znshuru.com/wall/yz/md/95f9115670a9c7534f3243fe019dadcf.dat?ra#######
- http://tj###.znshuru.com/yz-spbz.php?a=##
- http://tj###.znshuru.com/sj.php
- http://do##.#nshuru.com/wall/yz/upd/yzbz_sp3.0.3-2.gif
- http://up####.znshuru.com/wall/yz/md/48097e7818dcb3e855b93317d892cd6a.dat
- http://do##.#nshuru.com/wall/yz/md/tt2.gif
- http://kl.##ayg.com/zkactive/ctl/v2/qinfo.html?ui##################################
UDP
- DNS ASK up####.znshuru.com
- DNS ASK do##.#nshuru.com
- DNS ASK tj###.znshuru.com
- DNS ASK co####.znshuru.com
- DNS ASK do#.#nshuru.com
- DNS ASK in#.#nshuru.com
- DNS ASK kl.##ayg.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\yzwallpaper\mutnly.exe' 96 --9be=yzbzupdsp200611
- '%ProgramFiles(x86)%\yzwallpaper\svparte.exe' 01
- '%APPDATA%\uziwallsvcht\sverse.exe' 4d --a59=uziwallSvcHt --b15=uziwallSvcHt --a1f=uziwallSvcHt --b5c=yzbzupdsp200611 --735=
- '%ProgramFiles(x86)%\yzwallpaper\mutnly.exe' e8
- '%ProgramFiles(x86)%\yzwallpaper\mutnly.exe' b5 --2e0=0
- '%ProgramFiles(x86)%\yzwallpaper\myupd.exe' 62
- '%ProgramFiles(x86)%\yzwallpaper\yzhep.exe' --cf=668f6ac9442f9f92b3b2d97e98e967c7.dat
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k YzWallWork
