Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%TEMP%\FOLDER~1\lkpcrkk.exe %TEMP%\FOLDER~1\kuetenvj.xl'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\folder3_95\dohlnmcfg.obd
- %TEMP%\folder3_95\mvrpifdih.msc
- %TEMP%\folder3_95\ammwenca.txt
- %TEMP%\folder3_95\duxi.xl
- %TEMP%\folder3_95\khqrphwh.xml
- %TEMP%\folder3_95\elhlrl.xml
- %TEMP%\folder3_95\ehgmf.ini
- %TEMP%\folder3_95\xxfmaqgoat.exe
- %TEMP%\folder3_95\bivj.bin
- %TEMP%\folder3_95\htgkfv.pdf
- %TEMP%\folder3_95\bxfpaa.mp3
- %TEMP%\folder3_95\kdmojqoha.msc
- %TEMP%\folder3_95\uptemmm.exe
- %TEMP%\folder3_95\sbqg.mp3
- %TEMP%\folder3_95\skmtxs.txt
- %TEMP%\folder3_95\npwdclp.dll
- %TEMP%\folder3_95\fnobmmnrxd.xml
- %TEMP%\folder3_95\aurjxd.jpg
- %TEMP%\folder3_95\cwot.docx
- %TEMP%\folder3_95\juoxfkoai.xl
- %TEMP%\folder3_95\hvwbtw.msc
- %TEMP%\folder3_95\pcbi.msc
- %TEMP%\folder3_95\lkpcrkk.exe
- %TEMP%\folder3_95\fwaur-llnrjka.pdf.vbe
- %TEMP%\folder3_95\kuetenvj.xl
- %TEMP%\folder3_95\kalxdtanf.dat
- %HOMEPATH%\temp\kalxdtanf.dat
- %TEMP%\regsvcs.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\folder3_95\lkpcrkk.exe
Сетевая активность
UDP
- 'localhost':63885
- 'localhost':61981
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\folder3_95\lkpcrkk.exe' kuetenvj.xl
- '%TEMP%\regsvcs.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' fwaur-llnrjka.pdf.vbe
