Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'uqajfoxtdyhqm' = '%APPDATA%\qvfbktpyidm\irbwgpl.exe "%TEMP%\tcewma.exe" %LOCALAPPDATA%\T�'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- tcewma.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsv81c.tmp
- %TEMP%\brracnfv.te
- %TEMP%\poocmej.n
- %TEMP%\tcewma.exe
- %APPDATA%\qvfbktpyidm\irbwgpl.exe
Сетевая активность
Подключается к
- 'localhost':56932
- '45.##8.234.54':56932
- 'ge###ugin.net':80
TCP
Запросы HTTP GET
- http://ge###ugin.net/json.gp
Другие
- '45.##8.234.54':56932
UDP
- DNS ASK ge###ugin.net
- 'localhost':61922
- 'localhost':57319
Другое
Создает и запускает на исполнение
- '%TEMP%\tcewma.exe' %TEMP%\poocmej.n
- '%TEMP%\tcewma.exe'
