Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'Zykkcokk.exe' = '%HOMEPATH%\dKoAsAYs\Zykkcokk.exe'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\fYgAgYBN] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\fYgAgYBN] 'ImagePath' = '%ALLUSERSPROFILE%\uqgIwgsw\UKMIoYgY.exe'
Создает следующие сервисы
- 'fYgAgYBN' %ALLUSERSPROFILE%\uqgIwgsw\UKMIoYgY.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\dkoasays\zykkcokk
- %ALLUSERSPROFILE%\zegmqeuu\pkkqgsqq
- %HOMEPATH%\dkoasays\zykkcokk.exe
- %ALLUSERSPROFILE%\uqgiwgsw\ukmioygy.exe
- %WINDIR%\syswow64\config\systemprofile\dkoasays\zykkcokk
- %ALLUSERSPROFILE%\poas.txt
- <Текущая директория>\emsa.exe
- <Текущая директория>\cims.exe
- <Текущая директория>\faoc.exe
- <Текущая директория>\emug.exe
Удаляет следующие файлы
- <Текущая директория>\emsa.exe
- <Текущая директория>\cims.exe
- <Текущая директория>\faoc.exe
- <Текущая директория>\emug.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://google.com/
UDP
- DNS ASK bl##k.io
- DNS ASK google.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'pkkQgsQQ.exe'
- ClassName: '' WindowName: 'Microsoft Windows'
Создает и запускает на исполнение
- '%HOMEPATH%\dkoasays\zykkcokk.exe'
- '%ALLUSERSPROFILE%\uqgiwgsw\ukmioygy.exe'
