Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\nvngxupdatecheckdaily_{fa420e5f-0e5f-0e5f-0e5f-fa420e5f0e5f}
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- uwwtrwr
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\44da.tmp
- %APPDATA%\uwwtrwr
- %APPDATA%\wijteic
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\uwwtrwr
- %APPDATA%\wijteic
Удаляет следующие файлы
- %TEMP%\44da.tmp
Подменяет следующие файлы
- %TEMP%\44da.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'lo###psky.net':80
TCP
Запросы HTTP POST
- http://lo###psky.net/
UDP
- DNS ASK lo###psky.net
Другое
Создает и запускает на исполнение
- '%APPDATA%\uwwtrwr'
- '%APPDATA%\uwwtrwr' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '<SYSTEM32>\taskeng.exe' {1D528541-00D6-479F-A946-51782BEFB8FE} S-1-5-21-1960123792-2022915161-3775307078-1001:zmlmxteccoj\user:Interactive:[1]
- '%WINDIR%\explorer.exe'
