Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'KIwQgcwI.exe' = '%HOMEPATH%\eogIYsMg\KIwQgcwI.exe'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\cksUkoEJ] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\cksUkoEJ] 'ImagePath' = '%ALLUSERSPROFILE%\wwcYUEMk\gYMkowYw.exe'
Создает следующие сервисы
- 'cksUkoEJ' %ALLUSERSPROFILE%\wwcYUEMk\gYMkowYw.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\eogiysmg\kiwqgcwi
- %ALLUSERSPROFILE%\fqiucacg\wceqcgau
- %HOMEPATH%\eogiysmg\kiwqgcwi.exe
- %ALLUSERSPROFILE%\wwcyuemk\gymkowyw.exe
- %WINDIR%\syswow64\config\systemprofile\eogiysmg\kiwqgcwi
- %ALLUSERSPROFILE%\okki.txt
- <Текущая директория>\oiys.exe
- <Текущая директория>\dyua.exe
- <Текущая директория>\veya.exe
- <Текущая директория>\fmai.exe
- <Текущая директория>\jgmc.exe
Удаляет следующие файлы
- <Текущая директория>\oiys.exe
- <Текущая директория>\dyua.exe
- <Текущая директория>\veya.exe
- <Текущая директория>\fmai.exe
- <Текущая директория>\jgmc.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://google.com/
UDP
- DNS ASK bl##k.io
- DNS ASK google.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'WcEQcgAU.exe'
- ClassName: '' WindowName: 'Microsoft Windows'
Создает и запускает на исполнение
- '%HOMEPATH%\eogiysmg\kiwqgcwi.exe'
- '%ALLUSERSPROFILE%\wwcyuemk\gymkowyw.exe'
