Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Rsmuth kfrfvazk] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Rsmuth kfrfvazk] 'ImagePath' = '%WINDIR%\Evyruf.exe -auto'
- [HKLM\System\CurrentControlSet\Services\Qogxog Jphxp] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Qogxog Jphxp] 'ImagePath' = '<SYSTEM32>\Hnevm.exe -auto'
Создает следующие сервисы
- 'Rsmuth kfrfvazk' %WINDIR%\Evyruf.exe -auto
- 'Qogxog Jphxp' <SYSTEM32>\Hnevm.exe -auto
Изменения в файловой системе
Создает следующие файлы
- C:\input.txt
- %WINDIR%\syswow64\ini.ini
- %WINDIR%\evyruf.exe
- %WINDIR%\smsc.exe
- %WINDIR%\syswow64\hnevm.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\evyruf.exe
Удаляет следующие файлы
- C:\input.txt
Подменяет следующие файлы
- C:\input.txt
Сетевая активность
Подключается к
- '38.##.220.159':8001
- 'no##b.xyz':8080
- 'no##b.xyz':80
- 'ta##ao.com':80
- 'ta##ao.com':443
TCP
Запросы HTTP GET
- http://www.ta##ao.com/help/getip.php
Другие
- '38.##.220.159':8001
- 'ta##ao.com':443
UDP
- DNS ASK no##b.xyz
- DNS ASK ta##ao.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\evyruf.exe' -auto
- '%WINDIR%\evyruf.exe' -acsi
- '%WINDIR%\smsc.exe'
- '%WINDIR%\syswow64\hnevm.exe' -auto
- '%WINDIR%\syswow64\hnevm.exe' -acsi
- '%WINDIR%\syswow64\cmd.exe' /c start %WINDIR%\smsc.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start %WINDIR%\smsc.exe
