Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\fastuserswitchingcompatibility] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\fastuserswitchingcompatibility] 'ImagePath' = '<SYSTEM32>\svchost.exe -k "netsvcs"'
Создает следующие сервисы
- 'fastuserswitchingcompatibility' <SYSTEM32>\svchost.exe -k "netsvcs"
Изменения в файловой системе
Создает следующие файлы
- C:\cbnrlp
- <Текущая директория>\uoxpbkbskk
- %TEMP%\ojbfldhsdb.dat
- %WINDIR%\syswow64\iuyhyyfdbh
- %WINDIR%\syswow64\idmbgcibod
Удаляет следующие файлы
- <Текущая директория>\uoxpbkbskk
- %WINDIR%\syswow64\iuyhyyfdbh
- C:\cbnrlp
- %WINDIR%\syswow64\idmbgcibod
Перемещает следующие файлы
- %TEMP%\ojbfldhsdb.dat в %ProgramFiles%\StormII\hipeb.biz
Самоперемещается
- из <Полный путь к файлу> в C:\cbnrlp.chk
Самоудаляется.
Сетевая активность
Подключается к
- 'la###a.gg87.com':338
UDP
- DNS ASK la###a.gg87.com
Другое
Создает и запускает на исполнение
- 'C:\cbnrlp' a -s
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k "netsvcs"
