Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Classes\KXGowh EXpnx\Shell\Open\Command] '' = '"C:\Users\Public\Downloads\WoAkDIhx.exe"ulmjHiIg TemmgBSa AUspNHFc'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\downloads\woakdihx.exe
- C:\users\public\downloads\kxgowh expnx.qgyd
Удаляет следующие файлы
- %TEMP%\_@3783.tmp
Перемещает следующие файлы
- C:\users\public\downloads\woakdihx.exe в %TEMP%\_@3783.tmp
Самоудаляется.
Сетевая активность
Подключается к
- '11#.#9.134.193':6666
TCP
Другие
- '11#.#9.134.193':6666
Другое
Создает и запускает на исполнение
- 'C:\users\public\downloads\woakdihx.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' cmd/c ping -n 2 127.0.0.1 > nul && del %TEMP%\_@3783.tmp > nul (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 2 127.0.0.1
