Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'vcuhwpyv' = '"%WINDIR%\arepahux.exe"'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsf5a50.tmp\userinfo.dll
- %APPDATA%\www.yify-torrents.com.jpg
- %TEMP%\nsf5a50.tmp\ane.dll
- %ALLUSERSPROFILE%\idumewitynofyran\01000000
- %WINDIR%\arepahux.exe
- %ALLUSERSPROFILE%\idumewitynofyran\02000000
- %ALLUSERSPROFILE%\idumewitynofyran\00000000
Удаляет следующие файлы
- %TEMP%\nsf5a50.tmp\ane.dll
- %TEMP%\nsf5a50.tmp\userinfo.dll
Сетевая активность
UDP
- DNS ASK ah###raje.ru
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
