Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\zezo.exe
- <Текущая директория>\U94.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = '127.0.0.1:9666'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyOverride' = 'local'
- [<HKLM>\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1C00' = '{00,00,00,00}'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'CurrentLevel' = '{00,00,00,00}'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\zezo.exe
- <Текущая директория>\U94.exe
- %TEMP%\Pmcprnrjtkpsjxrp
- %TEMP%\Fkxextxizqpduxlo
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\8e0f9261-5356-4899-9b85-409b893872d0
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\699c4b9cdebca7aaea5193cae8a50098_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
Сетевая активность:
Подключается к:
- '20#.#4.241.68':443
- '66.#.115.164':443
- '21#.#9.144.3':443
- '21#.#1.212.9':443
- '21#.#40.245.12':443
- '74.##5.19.48':443
- '21#.#71.0.140':443
- '12#.#01.65.204':443
- '20#.#5.171.115':443
- '65.##0.234.93':443
- '72.##2.235.12':443
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
