Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\RepGc30pGc] 'ImagePath' = '<DRIVERS>\pGc30pGc'
- [HKLM\System\CurrentControlSet\Services\RepDr20pDr] 'ImagePath' = '<DRIVERS>\pDr20pDr'
Создает следующие сервисы
- 'RepGc30pGc' <DRIVERS>\pGc30pGc
- 'RepDr20pDr' <DRIVERS>\pDr20pDr
Изменения в файловой системе
Создает следующие файлы
- C:\spaceapex.ini
- %WINDIR%\syswow64\drivers\ycgqubbc.dll
- %WINDIR%\syswow64\drivers\ztnhbvmg
- <DRIVERS>\pgc30pgc
- <DRIVERS>\pdr20pdr
- %WINDIR%\temp\udd10b2.tmp
- %WINDIR%\temp\udd10b3.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\drivers\ztnhbvmg
- <DRIVERS>\pgc30pgc
- <DRIVERS>\pdr20pdr
Удаляет следующие файлы
- %WINDIR%\syswow64\drivers\ztnhbvmg
- %WINDIR%\temp\udd10b2.tmp
- %WINDIR%\temp\udd10b3.tmp
Сетевая активность
Подключается к
- 'a.####elly.store':9998
- '1.##.5.247':9942
TCP
Запросы HTTP GET
- http://a.#####lly.store:9998/e/303/yuzi/Space.dll via a.####elly.store
- http://a.#####lly.store:9998/e/303/yuzi/Ruid.dll via a.####elly.store
- http://a.#####lly.store:9998/e/303/yuzi/Yuzi.sys via a.####elly.store
Другие
- '1.##.5.247':9942
UDP
- DNS ASK a.####elly.store
