Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\SA6493] 'ImagePath' = '%TEMP%\Gc84GIa.sys'
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\regsvr32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\gc84gia.sys
- <Текущая директория>\sbvbhntww.exe
- <Текущая директория>\rcx125c.tmp
- <Текущая директория>\rcx175e.tmp
- C:\.edb
- C:\.edt
- D:\kugoou\dsdfoy\yong.dll
- D:\kugoou\dsdfoy\yi.edb
- D:\kugoou\dsdfoy\yi.edt
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\gc84gia.sys
Удаляет следующие файлы
- %TEMP%\gc84gia.sys
- D:\kugoou\dsdfoy\yong.dll
Перемещает следующие файлы
- <Текущая директория>\rcx125c.tmp в <Текущая директория>\sbvbhntww.exe
- <Текущая директория>\rcx175e.tmp в <Текущая директория>\sbvbhntww.exe
Сетевая активность
Подключается к
- '49.##5.95.199':888
TCP
Запросы HTTP GET
- http://20##.ip138.com/
UDP
- DNS ASK 20##.ip138.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\sbvbhntww.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' D:\KuGoou\Dsdfoy\\yong.dll
