Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'dcxsagrhfojcrcedw' = '<SYSTEM32>\regsvr32.exe /s "%TEMP%\aiilibavsxgwwoy.DLL"'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'dcxsagrhfojcrcedw' = '<SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\aiilibavsxgwwoy.dll"'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nshc10e.tmp
- %TEMP%\nsxc11f.tmp\system.dll
- %TEMP%\aiilibavsxgwwoy.dll
- %WINDIR%\syswow64\rhchrwqsnr.exe
- %TEMP%\cv4ce27.tmp
Удаляет следующие файлы
- %TEMP%\cv4ce27.tmp
- %TEMP%\nsxc11f.tmp\system.dll
Перемещает следующие файлы
- %TEMP%\aiilibavsxgwwoy.dll в %WINDIR%\syswow64\aiilibavsxgwwoy.dll
Изменяет следующие файлы
Сетевая активность
Подключается к
- 'cp##ky.biz':80
TCP
Запросы HTTP GET
- http://cp##ky.biz/bc/nsi_install.php?in###########################################################################
- http://cp##ky.biz/js/parking.2.94.0.js
Запросы HTTP POST
- http://cp##ky.biz/bc/123kah.php
UDP
- DNS ASK cp##ky.biz
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\aiilibavsxgwwoy.dll"
