Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\windows.lnk
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dkaavjart
- %APPDATA%\windows.lnk
- %APPDATA%\vhsxguu\lpnmavq.exe
- %APPDATA%\gmwwbs\lcjrgq.exe
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.nfo
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.dat
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.svr
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.nfo
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.dat
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.svr
Удаляет следующие файлы
- %APPDATA%\microsoft\windows\9hgvnkaakzh\9hgvnkaakzh.svr
Подменяет следующие файлы
- %APPDATA%\windows.lnk
Сетевая активность
Подключается к
- 'dr##box.com':443
- 'ja#######ngsetts.ignorelist.com':996
TCP
Другие
- 'dr##box.com':443
UDP
- DNS ASK dr##box.com
- DNS ASK sp#######ctest.ciscofreak.com
- DNS ASK bu#######mpleointernacional.com
- DNS ASK s0###.##activedirectory.com
- DNS ASK is######y.cable-modem.org
- DNS ASK se######ssl.mymediapc.net
- DNS ASK ja#######ngsetts.ignorelist.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del /q /f %temp%\*.lnk' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c start %temp%\KrKBfsZjT.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe'
- '%WINDIR%\syswow64\cmd.exe' /c del /q /f %temp%\*.lnk
- '%WINDIR%\syswow64\cmd.exe' /c start %temp%\KrKBfsZjT.exe
