Техническая информация
Для обеспечения автозапуска и распространения
Изменяет следующие исполняемые системные файлы
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\drvhdd.exe
- %TEMP%\usbdrvi.exe
- %TEMP%\wincpu.exe
- %TEMP%\winlogonw.exe
- %TEMP%\winplayeer.exe
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'dg#####n20785.hopto.org':35800
TCP
Другие
- 'dg#####n20785.hopto.org':35800
UDP
- DNS ASK dg#####n20785.hopto.org
Другое
Создает и запускает на исполнение
- '%TEMP%\drvhdd.exe'
- '%TEMP%\usbdrvi.exe'
- '%TEMP%\wincpu.exe'
- '%TEMP%\winlogonw.exe'
- '%TEMP%\winplayeer.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgAwAA==' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgAwAA==
- '%WINDIR%\microsoft.net\framework\v4.0.30319\installutil.exe'
- '%WINDIR%\syswow64\cmd.exe'
