Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\czygvnwr.exe'
- '<SYSTEM32>\vfyddnsv.exe'
- '<SYSTEM32>\pitxzodm.exe'
- '<SYSTEM32>\fkihnusk.exe'
- '<SYSTEM32>\svxceuen.exe'
- '<SYSTEM32>\vhzlirmf.exe'
- '<SYSTEM32>\iqamnvxu.exe'
- '<SYSTEM32>\pygomeza.exe'
- '<SYSTEM32>\lhwclsde.exe'
- '<SYSTEM32>\mhhhfzwj.exe'
- '<SYSTEM32>\rzaamdjz.exe'
- '<SYSTEM32>\tqaemara.exe' /pid=3152
- '<SYSTEM32>\tcfewmmu.exe' /pid=3320
- '<SYSTEM32>\iwpwjcnx.exe'
- '<SYSTEM32>\mtitpiab.exe'
- '<SYSTEM32>\gcwgoodc.exe'
- '<SYSTEM32>\hnbhhiid.exe'
- '<SYSTEM32>\wgoxjera.exe'
- '<SYSTEM32>\ecotayga.exe'
- '<SYSTEM32>\tqaemara.exe'
- '<SYSTEM32>\dhmtsqrk.exe'
- '<SYSTEM32>\rflhozna.exe'
- '<SYSTEM32>\nzagiaip.exe'
- '<SYSTEM32>\beawysvk.exe'
- '<SYSTEM32>\jfdwgtti.exe'
- '<SYSTEM32>\xbhvzerm.exe'
- '<SYSTEM32>\hvjtkjag.exe'
- '<SYSTEM32>\dpdupcih.exe'
- '<SYSTEM32>\tcfewmmu.exe'
- '<SYSTEM32>\hvdqcmme.exe'
- '<SYSTEM32>\yteikhxz.exe'
- '<SYSTEM32>\otrudntr.exe'
- '<SYSTEM32>\jpiohkcl.exe'
- '<SYSTEM32>\nhbxagai.exe'
- '<SYSTEM32>\swvxxigk.exe'
- '<SYSTEM32>\mywyddut.exe'
- '<SYSTEM32>\eosnsquw.exe'
- '<SYSTEM32>\uewuusfb.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\vfyddnsv.exe
- <SYSTEM32>\svxceuen.exe
- <SYSTEM32>\fkihnusk.exe
- <SYSTEM32>\czygvnwr.exe
- <SYSTEM32>\pygomeza.exe
- <SYSTEM32>\iqamnvxu.exe
- <SYSTEM32>\otrudntr.exe
- <SYSTEM32>\lhwclsde.exe
- <SYSTEM32>\vhzlirmf.exe
- <SYSTEM32>\pitxzodm.exe
- <SYSTEM32>\mtitpiab.exe
- <SYSTEM32>\wgoxjera.exe
- <SYSTEM32>\iwpwjcnx.exe
- <SYSTEM32>\rzaamdjz.exe
- <SYSTEM32>\ecotayga.exe
- <SYSTEM32>\hnbhhiid.exe
- <SYSTEM32>\mhhhfzwj.exe
- <SYSTEM32>\ttadhtci.exe
- <SYSTEM32>\gcwgoodc.exe
- <SYSTEM32>\dhmtsqrk.exe
- <SYSTEM32>\beawysvk.exe
- <SYSTEM32>\nzagiaip.exe
- <SYSTEM32>\tqaemara.exe
- <SYSTEM32>\hvjtkjag.exe
- <SYSTEM32>\xbhvzerm.exe
- <SYSTEM32>\dpdupcih.exe
- <SYSTEM32>\jfdwgtti.exe
- <SYSTEM32>\rflhozna.exe
- <SYSTEM32>\yteikhxz.exe
- <SYSTEM32>\nhbxagai.exe
- <SYSTEM32>\jpiohkcl.exe
- <SYSTEM32>\hvdqcmme.exe
- <SYSTEM32>\eosnsquw.exe
- <SYSTEM32>\mywyddut.exe
- <SYSTEM32>\tcfewmmu.exe
- <SYSTEM32>\uewuusfb.exe
- <SYSTEM32>\swvxxigk.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\czygvnwr.exe
- <SYSTEM32>\vfyddnsv.exe
- <SYSTEM32>\pitxzodm.exe
- <SYSTEM32>\fkihnusk.exe
- <SYSTEM32>\svxceuen.exe
- <SYSTEM32>\vhzlirmf.exe
- <SYSTEM32>\iqamnvxu.exe
- <SYSTEM32>\pygomeza.exe
- <SYSTEM32>\lhwclsde.exe
- <SYSTEM32>\mtitpiab.exe
- <SYSTEM32>\wgoxjera.exe
- <SYSTEM32>\iwpwjcnx.exe
- <SYSTEM32>\rzaamdjz.exe
- <SYSTEM32>\ecotayga.exe
- <SYSTEM32>\hnbhhiid.exe
- <SYSTEM32>\mhhhfzwj.exe
- <SYSTEM32>\ttadhtci.exe
- <SYSTEM32>\gcwgoodc.exe
- <SYSTEM32>\otrudntr.exe
- <SYSTEM32>\tqaemara.exe
- <SYSTEM32>\dhmtsqrk.exe
- <SYSTEM32>\rflhozna.exe
- <SYSTEM32>\nzagiaip.exe
- <SYSTEM32>\beawysvk.exe
- <SYSTEM32>\jfdwgtti.exe
- <SYSTEM32>\xbhvzerm.exe
- <SYSTEM32>\hvjtkjag.exe
- <SYSTEM32>\dpdupcih.exe
- <SYSTEM32>\yteikhxz.exe
- <SYSTEM32>\nhbxagai.exe
- <SYSTEM32>\jpiohkcl.exe
- <SYSTEM32>\hvdqcmme.exe
- <SYSTEM32>\eosnsquw.exe
- <SYSTEM32>\mywyddut.exe
- <SYSTEM32>\tcfewmmu.exe
- <SYSTEM32>\uewuusfb.exe
- <SYSTEM32>\swvxxigk.exe
Удаляет следующие файлы:
- %TEMP%\~DF31D6.tmp
- %TEMP%\~DFD072.tmp
- %TEMP%\~DFCCDD.tmp
- %TEMP%\~DF31EE.tmp
- %TEMP%\~DFD0B9.tmp
- %TEMP%\~DFD528.tmp
- %TEMP%\~DFD43B.tmp
- %TEMP%\~DF3605.tmp
- %TEMP%\~DF3555.tmp
- %TEMP%\~DF2A34.tmp
- %TEMP%\~DF29E4.tmp
- %TEMP%\~DFC527.tmp
- %TEMP%\~DFC354.tmp
- %TEMP%\~DFC8B2.tmp
- %TEMP%\~DF2D3D.tmp
- %TEMP%\~DFCCCD.tmp
- %TEMP%\~DFC8BF.tmp
- %TEMP%\~DF2DC8.tmp
- %TEMP%\~DFE114.tmp
- %TEMP%\~DF46A0.tmp
- %TEMP%\~DF4281.tmp
- %TEMP%\~DFE0B7.tmp
- %TEMP%\~DF45C2.tmp
- %TEMP%\~DF4A66.tmp
- %TEMP%\~DF4A7D.tmp
- %TEMP%\~DFE559.tmp
- %TEMP%\~DFE4CA.tmp
- %TEMP%\~DFD994.tmp
- %TEMP%\~DFD8E4.tmp
- %TEMP%\~DF3AB2.tmp
- %TEMP%\~DF388E.tmp
- %TEMP%\~DF3ED7.tmp
- %TEMP%\~DFDCFE.tmp
- %TEMP%\~DF4280.tmp
- %TEMP%\~DF3E5A.tmp
- %TEMP%\~DFDD2A.tmp
- %TEMP%\~DFEDAC.tmp
- %TEMP%\~DF886E.tmp
- %TEMP%\~DF8669.tmp
- %TEMP%\~DFEAF3.tmp
- %TEMP%\~DF8B21.tmp
- %TEMP%\~DF8CE9.tmp
- %TEMP%\~DF8B44.tmp
- %TEMP%\~DFEDEA.tmp
- %TEMP%\~DFEF8E.tmp
- %TEMP%\~DFE830.tmp
- %TEMP%\~DFD6CA.tmp
- %TEMP%\~DF7497.tmp
- %TEMP%\~DF18A7.tmp
- %TEMP%\~DF85D1.tmp
- %TEMP%\~DFED6E.tmp
- %TEMP%\~DF89E4.tmp
- %TEMP%\~DF79FD.tmp
- %TEMP%\~DFEA25.tmp
- %TEMP%\~DF95CC.tmp
- %TEMP%\~DF1FBE.tmp
- %TEMP%\~DFF80A.tmp
- %TEMP%\~DF927B.tmp
- %TEMP%\~DFF998.tmp
- %TEMP%\~DF263F.tmp
- %TEMP%\~DF22E0.tmp
- %TEMP%\~DFC346.tmp
- %TEMP%\~DF9758.tmp
- %TEMP%\~DF8FE6.tmp
- %TEMP%\~DF8FBC.tmp
- %TEMP%\~DFF1D8.tmp
- %TEMP%\~DFF2DE.tmp
- %TEMP%\~DFF403.tmp
- %TEMP%\~DF935C.tmp
- %TEMP%\~DFF4D9.tmp
- %TEMP%\~DFF53A.tmp
- %TEMP%\~DF90EE.tmp
Сетевая активность:
Подключается к:
- 'localhost':1087
- 'localhost':1085
- 'localhost':1091
- 'localhost':1089
- 'localhost':1083
- 'localhost':1077
- 'localhost':1075
- 'localhost':1081
- 'localhost':1079
- 'localhost':1093
- 'localhost':1107
- 'localhost':1105
- 'localhost':1111
- 'localhost':1109
- 'localhost':1103
- 'localhost':1097
- 'localhost':1095
- 'localhost':1101
- 'localhost':1099
- 'localhost':1049
- 'localhost':1047
- 'localhost':1053
- 'localhost':1051
- 'localhost':1045
- 'localhost':1039
- 'bl##.naver.com':80
- 'localhost':1043
- 'localhost':1041
- 'localhost':1055
- 'localhost':1069
- 'localhost':1067
- 'localhost':1073
- 'localhost':1071
- 'localhost':1065
- 'localhost':1059
- 'localhost':1057
- 'localhost':1063
- 'localhost':1061
TCP:
Запросы HTTP GET:
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
