Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\smkhcfvcwghh.lnk
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\wscript.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\ntcodf~1.exe
- %TEMP%\aut685.tmp
- %TEMP%\makvfnm
- %APPDATA%\izxb.exe
- %APPDATA%\izxbs.au3
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\hfiafp1vwbwvgyni\izxb.exe
- %HOMEPATH%\hfiafp1vwbwvgyni\izxbs.au3
Удаляет следующие файлы
- %TEMP%\aut685.tmp
- %TEMP%\makvfnm
- %TEMP%\ixp000.tmp\ntcodf~1.exe
Перемещает следующие файлы
- %APPDATA%\izxbs.au3 в %HOMEPATH%\hfiafp1vwbwvgyni\izxbs.au3
- %APPDATA%\izxb.exe в %HOMEPATH%\hfiafp1vwbwvgyni\izxb.exe
Сетевая активность
UDP
- DNS ASK sa#####es1989.hopto.org
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\ntcodf~1.exe'
- '%APPDATA%\izxb.exe' "%APPDATA%\IZXBS.au3"
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe'
- '%TEMP%\ixp000.tmp\ntcodf~1.exe' (со скрытым окном)
