Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'vttbaelarvir' = '%ALLUSERSPROFILE%\Hithviwia\trbgertrnion.exe'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%ALLUSERSPROFILE%\hdrisair\dihakhvartik.exe'
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1500
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\hdrisair\dihakhvartik.exe
- %HOMEPATH%\mdtmedia\powerpoint.pptx
- %HOMEPATH%\mdtmedia\~$powerpoint.pptx
- %TEMP%\490591.cvr
- %APPDATA%\microsoft\windows\templates\data.zip
- %APPDATA%\Microsoft\windows\templates\wia08
- %APPDATA%\Microsoft\windows\templates\wia07
- %ALLUSERSPROFILE%\hithviwia\trbgertrnion.zip
- %ProgramFiles%\hithvi~1\trbgertrnion.exe
Удаляет следующие файлы
- %APPDATA%\microsoft\windows\templates\data.zip
- %ALLUSERSPROFILE%\hithviwia\trbgertrnion.zip
Сетевая активность
Подключается к
- '16#.#60.166.80':12214
- '16#.#60.166.80':8868
TCP
Другие
- '16#.#60.166.80':8868
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\hdrisair\dihakhvartik.exe' ' (со скрытым окном)
