Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'klpnlu' = '"%LOCALAPPDATA%\iftdsem\dmjbpwi.exe" "%LOCALAPPDATA%\iftdsem\gkynwfehe.js"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\jcgltmu.lnk
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение
- '%LOCALAPPDATA%\iftdsem\dmjbpwi.exe' "<PATH_SAMPLE>.js" pjtjdl
- '%LOCALAPPDATA%\iftdsem\dmjbpwi.exe' "<PATH_SAMPLE>.js" nrlqdjpt
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\iftdsem\gkynwfehe.js
- %LOCALAPPDATA%\iftdsem\hdtoefpl
- %LOCALAPPDATA%\iftdsem\dmjbpwi.exe
- %LOCALAPPDATA%\iftdsem\elbend
Удаляет следующие файлы
- %LOCALAPPDATA%\iftdsem\elbend
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/
- http://le###ville.com/0.html
UDP
- DNS ASK microsoft.com
- DNS ASK 10###git.com
- DNS ASK le###ville.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.js" chrdpou' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del /F /S /Q "%LOCALAPPDATA%\iftdsem\*.exe"' (со скрытым окном)
- '%LOCALAPPDATA%\iftdsem\dmjbpwi.exe' "<PATH_SAMPLE>.js" pjtjdl' (со скрытым окном)
- '%LOCALAPPDATA%\iftdsem\dmjbpwi.exe' "<PATH_SAMPLE>.js" nrlqdjpt' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.js" chrdpou
- '<SYSTEM32>\cmd.exe' /c del /F /S /Q "%LOCALAPPDATA%\iftdsem\*.exe"
