Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,"%LOCALAPPDATA%\Pic1fPBkmq\LOHejsSdpL.exe" -s'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\svchost
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\burs.exe
- %TEMP%\dsmaqtwlzpxl.png
- %TEMP%\zuxwcnpio7.exe
- %LOCALAPPDATA%\pic1fpbkmq\lohejssdpl.exe
- %TEMP%\plyfiunqnqj.txt
- <SYSTEM32>\subdir\client.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\pic1fpbkmq\lohejssdpl.exe
Сетевая активность
TCP
- 'ma######bi31.duckdns.org':4782
UDP
- DNS ASK ma######bi31.duckdns.org
Другое
Создает и запускает на исполнение
- '%TEMP%\burs.exe'
- '%TEMP%\zuxwcnpio7.exe'
- '<SYSTEM32>\subdir\client.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' %TEMP%\Plyfiunqnqj.txt
- '<SYSTEM32>\schtasks.exe' /create /tn "svchost" /sc ONLOGON /tr "%TEMP%\zuXWcnPIo7.exe" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "svchost" /sc ONLOGON /tr "<SYSTEM32>\SubDir\Client.exe" /rl HIGHEST /f
