Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Rrpkvujmgr' = '"%APPDATA%\Gurwxo\Rrpkvujmgr.exe"'
Вредоносные функции
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\gurwxo\rrpkvujmgr.exe
Сетевая активность
Подключается к
- 'ch####p.dyndns.org':80
TCP
Запросы HTTP GET
- http://ch####p.dyndns.org/
UDP
- DNS ASK ch####p.dyndns.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' [System.Security.Principal.WindowsIdentity]::GetCurrent().Name' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ENC cwB0AGEAcgB0AC0AcwBsAGUAZQBwACAALQBzAGUAYwBvAG4AZABzACAAMgAwAA==' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' [System.Security.Principal.WindowsIdentity]::GetCurrent().Name
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ENC cwB0AGEAcgB0AC0AcwBsAGUAZQBwACAALQBzAGUAYwBvAG4AZABzACAAMgAwAA==
