Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\updates\gmzvqybv
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
- Системный антивирус (Защитник Windows)
блокирует:
- Компонент восстановления системы (SR)
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\gmzvqybv.exe
- %TEMP%\tmp57df.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Удаляет следующие файлы
- %TEMP%\tmp57df.tmp
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\tmpg701.tmp
Сетевая активность
Подключается к
- 'ch####p.dyndns.org':80
- 'fr###eoip.app':443
TCP
Запросы HTTP GET
- http://ch####p.dyndns.org/
Другие
- 'fr###eoip.app':443
UDP
- DNS ASK ch####p.dyndns.org
- DNS ASK fr###eoip.app
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\gmZVQYBv" /XML "%TEMP%\tmp57DF.tmp"' (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Updates\gmZVQYBv" /XML "%TEMP%\tmp57DF.tmp"
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f
