Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'WGUEYIMU.exe' = '%HOMEPATH%\yCcEUsgE\WGUEYIMU.exe'
- [<HKLM>\software\Wow6432Node\microsoft\windows\currentversion\run] 'HkcAIckg.exe' = '%ALLUSERSPROFILE%\sMAoggUI\HkcAIckg.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%ALLUSERSPROFILE%\sMAoggUI\HkcAIckg.exe,'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,%ALLUSERSPROFILE%\sMAoggUI\HkcAIckg.exe,'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\ycceusge\wgueyimu
- %ALLUSERSPROFILE%\smaoggui\hkcaickg
- %HOMEPATH%\ycceusge\wgueyimu.exe
- %ALLUSERSPROFILE%\smaoggui\hkcaickg.exe
- %WINDIR%\syswow64\config\systemprofile\ycceusge\wgueyimu
- <Текущая директория>\kmga.exe
- <Текущая директория>\seya.exe
- <Текущая директория>\nqyg.exe
- <Текущая директория>\vyoc.exe
- <Текущая директория>\bmmo.exe
- <Текущая директория>\kcgs.exe
- <Текущая директория>\bkuq.exe
- <Текущая директория>\dqyw.exe
- <Текущая директория>\zmwk.exe
Удаляет следующие файлы
- <Текущая директория>\kmga.exe
- <Текущая директория>\seya.exe
- <Текущая директория>\nqyg.exe
- <Текущая директория>\vyoc.exe
- <Текущая директория>\bmmo.exe
- <Текущая директория>\kcgs.exe
- <Текущая директория>\bkuq.exe
- <Текущая директория>\dqyw.exe
- <Текущая директория>\zmwk.exe
Сетевая активность
TCP
- 'bl##k.io':443
UDP
- DNS ASK bl##k.io
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\smaoggui\hkcaickg.exe'
- '%HOMEPATH%\ycceusge\wgueyimu.exe'
