Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Vyibo\oweze.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Vyibo\oweze.exe'
Внедряет код в
следующие системные процессы:
- <Служебный элемент>
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmpb9233142.bat
- <LS_APPDATA>\johoto.yhf
- %APPDATA%\Vyibo\oweze.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ca#######uirlivzxifizjwkpdy.org':80
- 'www.bing.com':80
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- ca#######uirlivzxifizjwkpdy.org/
- www.bing.com/
- 74.##5.232.51/
UDP:
- DNS ASK www.bing.com
- DNS ASK www.google.com
- DNS ASK ca#######uirlivzxifizjwkpdy.org
- '10#.#17.187.69':11806
- '18#.#23.135.118':12524
- '18#.#48.91.99':14558
- '98.##6.120.96':22784
- '64.##1.249.250':27667
- '18#.#34.152.195':20279
- '78.##9.187.6':14384
- '20#.#11.95.80':26683
- '19#.#4.127.98':25549
- '94.##.214.59':20278
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
