Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\dhwgdcdi.lnk
- <SYSTEM32>\tasks\opera scheduled autoupdate 2824836542
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\dhwgdcdi\rcivvcsg.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\dhwgdcdi\rcivvcsg.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'ms###csi.com':80
- 'wi####urlife.com':80
- 'wi####urlife.com':443
TCP
Запросы HTTP GET
- http://www.ms###csi.com/ncsi.txt
Запросы HTTP POST
- http://wi####urlife.com/
Другие
- 'wi####urlife.com':443
UDP
- DNS ASK my####dempty.com
- DNS ASK qi###mpty.com
- DNS ASK wi####urlife.com
- DNS ASK st##to.de
- DNS ASK cl###empydn.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\dhwgdcdi\rcivvcsg.exe'
- '%APPDATA%\microsoft\windows\dhwgdcdi\rcivvcsg.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\taskeng.exe' {5467FEE8-9D9B-49ED-9D6C-48A32B107CF3} S-1-5-21-2594934582-3011428313-3661137593-1000:uswcqcmlmaqf\user:Interactive:[1]
