Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Reypw42ypw] 'ImagePath' = '<DRIVERS>\ypw42ypw'
- [HKLM\System\CurrentControlSet\Services\ReBDg45BDg] 'ImagePath' = '<DRIVERS>\BDg45BDg'
Создает следующие сервисы
- 'Reypw42ypw' <DRIVERS>\ypw42ypw
- 'ReBDg45BDg' <DRIVERS>\BDg45BDg
Изменения в файловой системе
Создает следующие файлы
- C:\spaceapex.ini
- %WINDIR%\syswow64\drivers\lszdknos.dll
- %WINDIR%\syswow64\drivers\eqvnlycj
- <DRIVERS>\ypw42ypw
- <DRIVERS>\bdg45bdg
- %WINDIR%\temp\udd27ea.tmp
- %WINDIR%\temp\udd2848.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\drivers\eqvnlycj
- <DRIVERS>\ypw42ypw
- <DRIVERS>\bdg45bdg
Удаляет следующие файлы
- %WINDIR%\syswow64\drivers\eqvnlycj
- %WINDIR%\temp\udd27ea.tmp
- %WINDIR%\temp\udd2848.tmp
Сетевая активность
Подключается к
- 'a.####elly.store':9998
- '1.##.5.247':9942
TCP
Запросы HTTP GET
- http://a.#####lly.store:9998/e/303/yuzi/Space.dll via a.####elly.store
- http://a.#####lly.store:9998/e/303/yuzi/Ruid.dll via a.####elly.store
- http://a.#####lly.store:9998/e/303/yuzi/Yuzi.sys via a.####elly.store
Другие
- '1.##.5.247':9942
UDP
- DNS ASK a.####elly.store
