Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\dvatk
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- mzdumpw.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\mzdumpw.exe
- %TEMP%\ixp000.tmp\hpgt.qys
- %TEMP%\ixp000.tmp\pxjowmv.dck
- %HOMEPATH%\mzdumpw.exe
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\dvatk\hpgt.qys
- %HOMEPATH%\dvatk\mzdumpw.exe
- %HOMEPATH%\dvatk\pxjowmv.dck
- %HOMEPATH%\mzdumpw.exe
Перемещает следующие файлы
- %TEMP%\ixp000.tmp\hpgt.qys в %HOMEPATH%\dvatk\hpgt.qys
- %TEMP%\ixp000.tmp\mzdumpw.exe в %HOMEPATH%\dvatk\mzdumpw.exe
- %TEMP%\ixp000.tmp\pxjowmv.dck в %HOMEPATH%\dvatk\pxjowmv.dck
Сетевая активность
TCP
- 'bp#####tion.duckdns.org':3606
UDP
- DNS ASK bp#####tion.zapto.org
- DNS ASK bp#####tion.duckdns.org
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\mzdumpw.exe' hpgt.qys
- '%HOMEPATH%\mzdumpw.exe'
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 5 /tn dvatk /tr "%HOMEPATH%\dvatk\mzdumpw.exe %HOMEPATH%\dvatk\hpgt.qys"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 5 /tn dvatk /tr "%HOMEPATH%\dvatk\mzdumpw.exe %HOMEPATH%\dvatk\hpgt.qys"
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 5 /tn dvatk /tr "%HOMEPATH%\dvatk\mzdumpw.exe %HOMEPATH%\dvatk\hpgt.qys"
