Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'GEgwcAsU.exe' = '%HOMEPATH%\GEAEMIMU\GEgwcAsU.exe'
- [<HKLM>\software\Wow6432Node\microsoft\windows\currentversion\run] 'XIUscAIQ.exe' = '%ALLUSERSPROFILE%\tYkUMAEY\XIUscAIQ.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%ALLUSERSPROFILE%\tYkUMAEY\XIUscAIQ.exe,'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,%ALLUSERSPROFILE%\tYkUMAEY\XIUscAIQ.exe,'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\geaemimu\gegwcasu
- %ALLUSERSPROFILE%\tykumaey\xiuscaiq
- %HOMEPATH%\geaemimu\gegwcasu.exe
- %ALLUSERSPROFILE%\tykumaey\xiuscaiq.exe
- %WINDIR%\syswow64\config\systemprofile\geaemimu\gegwcasu
- <Текущая директория>\bksi.exe
- <Текущая директория>\qwse.exe
- <Текущая директория>\muui.exe
- <Текущая директория>\nmei.exe
- <Текущая директория>\kium.exe
- <Текущая директория>\kmmw.exe
Удаляет следующие файлы
- <Текущая директория>\bksi.exe
- <Текущая директория>\qwse.exe
- <Текущая директория>\muui.exe
- <Текущая директория>\nmei.exe
- <Текущая директория>\kium.exe
- <Текущая директория>\kmmw.exe
Сетевая активность
TCP
- 'bl##k.io':443
UDP
- DNS ASK bl##k.io
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\geaemimu\gegwcasu.exe'
- '%ALLUSERSPROFILE%\tykumaey\xiuscaiq.exe'
