Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'yducevoj' = '"%WINDIR%\umejyliz.exe"'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\yjizuzobajiwaxeq\01000000
- %WINDIR%\umejyliz.exe
- %ALLUSERSPROFILE%\yjizuzobajiwaxeq\02000000
- %ALLUSERSPROFILE%\yjizuzobajiwaxeq\00000000
Сетевая активность
UDP
- DNS ASK yn######.kopeoxbbret.com
- DNS ASK an#####.kopeoxbbret.com
- DNS ASK iq#####.kopeoxbbret.com
- DNS ASK eh######ahu.kopeoxbbret.com
- DNS ASK jj####.kopeoxbbret.com
- DNS ASK ur######.kopeoxbbret.com
- DNS ASK cc######yno.kopeoxbbret.com
- DNS ASK yb###.#opeoxbbret.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '<SYSTEM32>\vssvc.exe'
