Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '765bcb2a9d8a6a686559411d153437c4' = '<Полный путь к файлу>'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '765bcb2a9d8a6a686559411d153437c4' = '%TEMP%\Microsoft\MyClient\svchost.exe'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\e370e3db8aaaa25a5cd25d6da1d99439_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
- %TEMP%\microsoft\myclient\svchost.exe
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\b0ecede82374521b262a0d0bc818a364_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\microsoft\myclient\svchost.exe
Удаляет следующие файлы
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\e370e3db8aaaa25a5cd25d6da1d99439_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\b0ecede82374521b262a0d0bc818a364_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
Сетевая активность
Подключается к
- 'vh###.timeweb.ru':443
TCP
Запросы HTTP GET
- http://cq####1.tmweb.ru/connection.php?vi############################################################################################################
- http://cq####1.tmweb.ru/receive.php?co###################################
- http://cq####1.tmweb.ru/receive.php?co####################################
UDP
- DNS ASK cq####1.tmweb.ru
- DNS ASK vh###.timeweb.ru
Другое
Создает и запускает на исполнение
- '%TEMP%\microsoft\myclient\svchost.exe'
