Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\ReCdF44CdF] 'ImagePath' = '<DRIVERS>\ReCdF44CdF'
- [HKLM\System\CurrentControlSet\Services\Repvs36pvs] 'ImagePath' = '<DRIVERS>\Repvs36pvs'
Создает следующие сервисы
- 'ReCdF44CdF' <DRIVERS>\ReCdF44CdF
- 'Repvs36pvs' <DRIVERS>\Repvs36pvs
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\drivers\trlfwnao.dll
- %WINDIR%\syswow64\drivers\gevitdnx.dll
- <DRIVERS>\recdf44cdf
- %WINDIR%\temp\udd943.tmp
- <DRIVERS>\repvs36pvs
- %WINDIR%\temp\udd1094.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\drivers\gevitdnx.dll
- <DRIVERS>\recdf44cdf
- <DRIVERS>\repvs36pvs
Удаляет следующие файлы
- %WINDIR%\syswow64\drivers\gevitdnx.dll
- %WINDIR%\temp\udd943.tmp
- %WINDIR%\temp\udd1094.tmp
Сетевая активность
Подключается к
- 'vi##.eydata.net':443
- '12#.#21.130.249':10886
TCP
Запросы HTTP GET
- http://12#.###.130.249:10886/yun.txt via 12#.#21.130.249
- http://12#.###.130.249:10886/.106 via 12#.#21.130.249
- http://12#.###.130.249:10886/yun9.txt via 12#.#21.130.249
Другие
- 'vi##.eydata.net':443
UDP
- DNS ASK vi##.eydata.net
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
