Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Yufnzu] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\hsswd.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s "%TEMP%\160984_lang.reg"
- '<SYSTEM32>\svchost.exe' -k netsvcs
- '%WINDIR%\regedit.exe' /e "%TEMP%\155109_lang.reg" "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost"
- '%WINDIR%\regedit.exe' /s "%TEMP%\155109_lang.reg"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\dllcache\Yufnzuex.dll
- <SYSTEM32>\Yufnzuex.dll
- <SYSTEM32>\Yufnzuex.dll_lang.ini
- %TEMP%\165406_res.tmp
- %APPDATA%\hsswd.exe
- %TEMP%\155109_lang.reg
- %TEMP%\160984_lang.reg
Удаляет следующие файлы:
- %TEMP%\165406_res.tmp
- %APPDATA%\hsswd.exe
- %TEMP%\155109_lang.reg
- %TEMP%\160984_lang.reg
Сетевая активность:
Подключается к:
- 'sh####ll.no-ip.org':1452
UDP:
- DNS ASK sh####ll.no-ip.org
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
