Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\uIGiFAiEHPZ] 'ImagePath' = '%TEMP%\uIGiFAiEHPZ'
Создает следующие сервисы
- 'uIGiFAiEHPZ' %TEMP%\uIGiFAiEHPZ
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop vgc
- '<SYSTEM32>\net.exe' stop vgk
- '<SYSTEM32>\taskkill.exe' /IM vgtray.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\uigifaiehpz
- %WINDIR%\temp\udd4623.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd4623.tmp
- %TEMP%\uigifaiehpz
Подменяет следующие файлы
- %TEMP%\uigifaiehpz
Другое
Ищет следующие окна
- ClassName: 'Registry Monitor - Sysinternals: www.sysinternals.com' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c sc config vgc start= disabled & sc config vgk start= disabled & net stop vgc & net stop vgk & sc delete vgc & sc delete vgk & taskkill /IM vgtray.exe
- '<SYSTEM32>\sc.exe' config vgc start= disabled
- '<SYSTEM32>\sc.exe' config vgk start= disabled
- '<SYSTEM32>\net1.exe' stop vgc
- '<SYSTEM32>\net1.exe' stop vgk
- '<SYSTEM32>\sc.exe' delete vgc
- '<SYSTEM32>\sc.exe' delete vgk
