Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\TtboxulMJg7gWi] 'ImagePath' = '%TEMP%\TtboxulMJg7gWiX8pQxv.sys'
- [<HKLM>\System\CurrentControlSet\Services\DXUnz9DPyxIcTX] 'ImagePath' = '%TEMP%\DXUnz9DPyxIcTXr4Tfpm.sys'
- [<HKLM>\System\CurrentControlSet\Services\0sLB5uwlHV1bRx] 'ImagePath' = '%TEMP%\0sLB5uwlHV1bRxq29s6M.sys'
Создает следующие сервисы
- 'TtboxulMJg7gWi' %TEMP%\TtboxulMJg7gWiX8pQxv.sys
- 'DXUnz9DPyxIcTX' %TEMP%\DXUnz9DPyxIcTXr4Tfpm.sys
- '0sLB5uwlHV1bRx' %TEMP%\0sLB5uwlHV1bRxq29s6M.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ttboxulmjg7gwix8pqxv.sys
- %WINDIR%\temp\udd2da4.tmp
- %TEMP%\dxunz9dpyxictxr4tfpm.sys
- %TEMP%\0slb5uwlhv1brxq29s6m.sys
Удаляет следующие файлы
- %WINDIR%\temp\udd2da4.tmp
Сетевая активность
Подключается к
- 'ne######erifly.ntoskr.com':80
TCP
Запросы HTTP GET
- http://ne#######rifly.ntoskr.com.:80/verifly?ke########################## via ne######erifly.ntoskr.com
UDP
- DNS ASK ne######erifly.ntoskr.com
