Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\PFVYxi SXBLC] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\PFVYxi SXBLC] 'ImagePath' = '<SYSTEM32>\\MmDRCAHyGXr.exe Service 0'
Создает следующие сервисы
- 'PFVYxi SXBLC' <SYSTEM32>\\MmDRCAHyGXr.exe Service 0
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\mmdrcahygxr.exe
- <SYSTEM32>\mmdrcahygxr.exe
- nul
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\_@1e0b.tmp
Самоудаляется.
Сетевая активность
Подключается к
- '20#.#38.199.74':6666
TCP
Другие
- '20#.#38.199.74':6666
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\mmdrcahygxr.exe' -auto <SYSTEM32>\\MmDRCAHyGXr.exe
- '<SYSTEM32>\mmdrcahygxr.exe' -troj
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' cmd/c ping -n 2 127.0.0.1 > nul && del %TEMP%\_@1E0B.tmp > nul && exit (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 2 127.0.0.1
