Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ias] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe %ALLUSERSPROFILE%\drm\uxdjr.dll,DllCanUnloadNow 1148
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\209468.log
Удаляет следующие файлы:
- <SYSTEM32>\config\SysEvent.Evt
- <SYSTEM32>\config\SecEvent.Evt
- <SYSTEM32>\config\AppEvent.Evt
Перемещает следующие файлы:
- %TEMP%\209468.log в %ALLUSERSPROFILE%\DRM\uxdjr.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ju##.vicp.net':5302
- 'ju##.8800.org':5302
- 'sd###q.vicp.net':5302
- 'sd###q.3322.org':5302
UDP:
- DNS ASK ju##.vicp.net
- DNS ASK ju##.8800.org
- DNS ASK sd###q.vicp.net
- DNS ASK sd###q.3322.org
