Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'xrdwbfgn' = '{0A3C3030-D083-4104-91EB-2E1F1C34E0BE}'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'dgksvbpn' = '{BFF230DD-5DC6-41C2-8FF6-7663632B572F}'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\ac8zt2\sxmaokgf.exe reg
- %TEMP%\ac8zt2\ewxk.exe reapm
- %TEMP%\ac8zt2\ewxk.exe %WINDIR%\dgksvbpn.dll dgksvbpn
- %TEMP%\ac8zt2\ewxk.exe %WINDIR%\xrdwbfgn.dll xrdwbfgn
Запускает на исполнение:
- %WINDIR%\explorer.exe
- <SYSTEM32>\regsvr32.exe /s %WINDIR%\vanwxemgpbm.dll
- <SYSTEM32>\regsvr32.exe /s gksraemq.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\sxmaokgf.exe
- %WINDIR%\xrdwbfgn.dll
- %WINDIR%\vanwxemgpbm.dll
- %WINDIR%\ewxk.exe
- %TEMP%\nsi3.tmp\System.dll
- %TEMP%\nsk4.tmp.bat
- %WINDIR%\dgksvbpn.dll
- %WINDIR%\gksraemq.dll
- %TEMP%\ac8zt2\install.bat
- %TEMP%\ac8zt2\ewxk.exe
- %TEMP%\ac8zt2\vanwxemgpbm.dll
- %TEMP%\nsx2.tmp
- %TEMP%\nsi3.tmp\blowfish_d.dll
- %TEMP%\ac8zt2\gksraemq.dll
- %TEMP%\ac8zt2\sxmaokgf.exe
- %TEMP%\ac8zt2\dgksvbpn.dll
- %TEMP%\ac8zt2\xrdwbfgn.dll
Удаляет следующие файлы:
- %TEMP%\ac8zt2\xrdwbfgn.dll
- %TEMP%\ac8zt2\vanwxemgpbm.dll
- %TEMP%\nsi3.tmp\System.dll
- %TEMP%\nsi3.tmp\blowfish_d.dll
- %TEMP%\ac8zt2\sxmaokgf.exe
- %TEMP%\ac8zt2\ewxk.exe
- %TEMP%\ac8zt2\dgksvbpn.dll
- %TEMP%\ac8zt2\install.bat
- %TEMP%\ac8zt2\gksraemq.dll
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'BaseBar' WindowName: 'ChanApp'
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
