Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\xMAVkHwDZfYAAGgNWHgLmj] 'ImagePath' = '%TEMP%\xMAVkHwDZfYAAGgNWHgLmj'
Создает следующие сервисы
- 'xMAVkHwDZfYAAGgNWHgLmj' %TEMP%\xMAVkHwDZfYAAGgNWHgLmj
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\gptdynamicdrv125609.sys
- <Текущая директория>\kdmapper.exe
- %TEMP%\xmavkhwdzfyaaggnwhglmj
- %WINDIR%\temp\udd3b79.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\gptdynamicdrv125609.sys
- <Текущая директория>\kdmapper.exe
Удаляет следующие файлы
- %WINDIR%\temp\udd3b79.tmp
- <Текущая директория>\gptdynamicdrv125609.sys
- <Текущая директория>\kdmapper.exe
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\fvfey\....\temporaryfile
Сетевая активность
Подключается к
- '10#.#26.11.172':2023
TCP
Другие
- '10#.#26.11.172':2023
Другое
Создает и запускает на исполнение
- '<Текущая директория>\kdmapper.exe' -pool <Текущая директория>\GPTDynamicDrv125609.sys
- '<Текущая директория>\kdmapper.exe' -pool <Текущая директория>\GPTDynamicDrv125609.sys' (со скрытым окном)
