Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\kghcmmxu.exe
- <SYSTEM32>\bdmucwkt.exe
- <SYSTEM32>\puejgwts.exe
- <SYSTEM32>\qvcmenmf.exe
- <SYSTEM32>\vhkymhww.exe
- <SYSTEM32>\qfzayunx.exe
- <SYSTEM32>\kgvdkzhy.exe
- <SYSTEM32>\raobnuto.exe
- <SYSTEM32>\pqzvidxc.exe
- <SYSTEM32>\bjtvjxrq.exe
- <SYSTEM32>\snhapdsb.exe
- <SYSTEM32>\cvswmloa.exe
- <SYSTEM32>\jouejkkx.exe
- <SYSTEM32>\azbismkn.exe
- <SYSTEM32>\wdjywlpr.exe
- <SYSTEM32>\rvkzhcyy.exe
- <SYSTEM32>\liqcwgkm.exe
- <SYSTEM32>\rwgzfupp.exe
- <SYSTEM32>\cdlxbfwx.exe
- <SYSTEM32>\bpnhircz.exe
- <SYSTEM32>\jyeubsfx.exe
- <SYSTEM32>\wkaerfex.exe
- <SYSTEM32>\amzixxaq.exe
- <SYSTEM32>\lhmumcfo.exe
- <SYSTEM32>\wlpyzkfd.exe
- <SYSTEM32>\myitbskk.exe
- <SYSTEM32>\ymuudida.exe
- <SYSTEM32>\ipundcqo.exe
- <SYSTEM32>\nszqhhfs.exe
- <SYSTEM32>\tjcwdxfz.exe
- <SYSTEM32>\djtbpnam.exe
- <SYSTEM32>\peyfdveg.exe
- <SYSTEM32>\lpkoihrz.exe
- <SYSTEM32>\xridzyua.exe
- <SYSTEM32>\eglrmnlb.exe
- <SYSTEM32>\vbwrvvot.exe
- <SYSTEM32>\gfnypryi.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\bdmucwkt.exe
- <SYSTEM32>\vhkymhww.exe
- <SYSTEM32>\qvcmenmf.exe
- <SYSTEM32>\kghcmmxu.exe
- <SYSTEM32>\raobnuto.exe
- <SYSTEM32>\kgvdkzhy.exe
- <SYSTEM32>\cdlxbfwx.exe
- <SYSTEM32>\pqzvidxc.exe
- <SYSTEM32>\qfzayunx.exe
- <SYSTEM32>\puejgwts.exe
- <SYSTEM32>\bjtvjxrq.exe
- <SYSTEM32>\snhapdsb.exe
- <SYSTEM32>\cvswmloa.exe
- <SYSTEM32>\jouejkkx.exe
- <SYSTEM32>\azbismkn.exe
- <SYSTEM32>\wdjywlpr.exe
- <SYSTEM32>\rvkzhcyy.exe
- <SYSTEM32>\liqcwgkm.exe
- <SYSTEM32>\rwgzfupp.exe
- <SYSTEM32>\jyeubsfx.exe
- <SYSTEM32>\lhmumcfo.exe
- <SYSTEM32>\amzixxaq.exe
- <SYSTEM32>\bpnhircz.exe
- <SYSTEM32>\ymuudida.exe
- <SYSTEM32>\myitbskk.exe
- <SYSTEM32>\ipundcqo.exe
- <SYSTEM32>\wlpyzkfd.exe
- <SYSTEM32>\wkaerfex.exe
- <SYSTEM32>\nszqhhfs.exe
- <SYSTEM32>\tjcwdxfz.exe
- <SYSTEM32>\djtbpnam.exe
- <SYSTEM32>\peyfdveg.exe
- <SYSTEM32>\lpkoihrz.exe
- <SYSTEM32>\xridzyua.exe
- <SYSTEM32>\eglrmnlb.exe
- <SYSTEM32>\vbwrvvot.exe
- <SYSTEM32>\gfnypryi.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\kghcmmxu.exe
- <SYSTEM32>\bdmucwkt.exe
- <SYSTEM32>\puejgwts.exe
- <SYSTEM32>\qvcmenmf.exe
- <SYSTEM32>\vhkymhww.exe
- <SYSTEM32>\qfzayunx.exe
- <SYSTEM32>\kgvdkzhy.exe
- <SYSTEM32>\raobnuto.exe
- <SYSTEM32>\pqzvidxc.exe
- <SYSTEM32>\bjtvjxrq.exe
- <SYSTEM32>\snhapdsb.exe
- <SYSTEM32>\cvswmloa.exe
- <SYSTEM32>\jouejkkx.exe
- <SYSTEM32>\azbismkn.exe
- <SYSTEM32>\wdjywlpr.exe
- <SYSTEM32>\rvkzhcyy.exe
- <SYSTEM32>\liqcwgkm.exe
- <SYSTEM32>\rwgzfupp.exe
- <SYSTEM32>\cdlxbfwx.exe
- <SYSTEM32>\bpnhircz.exe
- <SYSTEM32>\jyeubsfx.exe
- <SYSTEM32>\wkaerfex.exe
- <SYSTEM32>\amzixxaq.exe
- <SYSTEM32>\lhmumcfo.exe
- <SYSTEM32>\wlpyzkfd.exe
- <SYSTEM32>\myitbskk.exe
- <SYSTEM32>\ymuudida.exe
- <SYSTEM32>\ipundcqo.exe
- <SYSTEM32>\nszqhhfs.exe
- <SYSTEM32>\tjcwdxfz.exe
- <SYSTEM32>\djtbpnam.exe
- <SYSTEM32>\peyfdveg.exe
- <SYSTEM32>\lpkoihrz.exe
- <SYSTEM32>\xridzyua.exe
- <SYSTEM32>\eglrmnlb.exe
- <SYSTEM32>\vbwrvvot.exe
- <SYSTEM32>\gfnypryi.exe
Удаляет следующие файлы:
- %TEMP%\~DF36EB.tmp
- %TEMP%\~DF5A4A.tmp
- %TEMP%\~DFCCE7.tmp
- %TEMP%\~DFF85A.tmp
- %TEMP%\~DF98A3.tmp
- %TEMP%\~DF31B0.tmp
- %TEMP%\~DF5CB5.tmp
- %TEMP%\~DF94F7.tmp
- %TEMP%\~DFF9B2.tmp
- %TEMP%\~DF69BF.tmp
- %TEMP%\~DFA8DF.tmp
- %TEMP%\~DF773.tmp
- %TEMP%\~DF3F8C.tmp
- %TEMP%\~DFCAFF.tmp
- %TEMP%\~DF6BE8.tmp
- %TEMP%\~DF95DE.tmp
- %TEMP%\~DFA09.tmp
- %TEMP%\~DF34D3.tmp
- %TEMP%\~DFC4A3.tmp
- %TEMP%\~DFBFC0.tmp
- %TEMP%\~DF6160.tmp
- %TEMP%\~DF774E.tmp
- %TEMP%\~DF3609.tmp
- %TEMP%\~DF18D4.tmp
- %TEMP%\~DF5DC8.tmp
- %TEMP%\~DFB73E.tmp
- %TEMP%\~DFAB65.tmp
- %TEMP%\~DFF51F.tmp
- %TEMP%\~DF341E.tmp
- %TEMP%\~DF9311.tmp
- %TEMP%\~DFD7EC.tmp
- %TEMP%\~DF5EDF.tmp
- %TEMP%\~DFF838.tmp
- %TEMP%\~DF32B4.tmp
- %TEMP%\~DF9649.tmp
- %TEMP%\~DFC0EB.tmp
- %TEMP%\~DF3731.tmp
- %TEMP%\~DF5CB4.tmp
- %TEMP%\~DF9452.tmp
- %TEMP%\~DFFC50.tmp
- %TEMP%\~DF97EE.tmp
- %TEMP%\~DF2787.tmp
- %TEMP%\~DF6106.tmp
- %TEMP%\~DFC713.tmp
- %TEMP%\~DF64.tmp
- %TEMP%\~DF6A05.tmp
- %TEMP%\~DFAADA.tmp
- %TEMP%\~DFFA2D.tmp
- %TEMP%\~DF40C7.tmp
- %TEMP%\~DFD23D.tmp
- %TEMP%\~DF6E98.tmp
- %TEMP%\~DFD704.tmp
- %TEMP%\~DF2A8.tmp
- %TEMP%\~DF33FA.tmp
- %TEMP%\~DFB4C8.tmp
- %TEMP%\~DFDAFC.tmp
- %TEMP%\~DF5515.tmp
- %TEMP%\~DF7993.tmp
- %TEMP%\~DF1EBB.tmp
- %TEMP%\~DFA62B.tmp
- %TEMP%\~DFDE34.tmp
- %TEMP%\~DF3BB6.tmp
- %TEMP%\~DF7D57.tmp
- %TEMP%\~DFECFA.tmp
- %TEMP%\~DF2B09.tmp
- %TEMP%\~DF8D87.tmp
- %TEMP%\~DFCAC9.tmp
- %TEMP%\~DF500D.tmp
- %TEMP%\~DFF957.tmp
- %TEMP%\~DF184B.tmp
- %TEMP%\~DF9517.tmp
- %TEMP%\~DFB0DF.tmp
Сетевая активность:
Подключается к:
- 'localhost':1085
- 'localhost':1083
- 'localhost':1089
- 'localhost':1087
- 'localhost':1081
- 'localhost':1075
- 'localhost':1073
- 'localhost':1079
- 'localhost':1077
- 'localhost':1091
- 'localhost':1105
- 'localhost':1103
- 'localhost':1109
- 'localhost':1107
- 'localhost':1101
- 'localhost':1095
- 'localhost':1093
- 'localhost':1099
- 'localhost':1097
- 'localhost':1047
- 'localhost':1045
- 'localhost':1051
- 'localhost':1049
- 'localhost':1043
- 'localhost':1037
- 'bl##.naver.com':80
- 'localhost':1041
- 'localhost':1039
- 'localhost':1053
- 'localhost':1067
- 'localhost':1065
- 'localhost':1071
- 'localhost':1069
- 'localhost':1063
- 'localhost':1057
- 'localhost':1055
- 'localhost':1061
- 'localhost':1059
TCP:
Запросы HTTP GET:
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
