Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Cheje' = 'rundll32.exe "%LOCALAPPDATA%\mspche.dll",Startup'
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nszf6ae.tmp
- %TEMP%\nspf71c.tmp\exerev.exe
- %TEMP%\nspf71c.tmp\1europ.exe
- %TEMP%\nspf71c.tmp\2ic.exe
- %TEMP%\nspf71c.tmp\3e4u - old.exe
- %TEMP%\nspf71c.tmp\6tbp.exe
- %LOCALAPPDATA%\mspche.dll
Удаляет следующие файлы
- %TEMP%\nspf71c.tmp\1europ.exe
- %TEMP%\nspf71c.tmp\2ic.exe
- %TEMP%\nspf71c.tmp\3e4u - old.exe
- %TEMP%\nspf71c.tmp\6tbp.exe
- %TEMP%\nspf71c.tmp\exerev.exe
Сетевая активность
UDP
- DNS ASK 36##uy.com
- DNS ASK ab###tel.com
Другое
Ищет следующие окна
- ClassName: 'SystemTray_Main' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\nspf71c.tmp\exerev.exe'
- '%TEMP%\nspf71c.tmp\1europ.exe'
- '%TEMP%\nspf71c.tmp\2ic.exe'
- '%TEMP%\nspf71c.tmp\3e4u - old.exe'
- '%TEMP%\nspf71c.tmp\6tbp.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\mspche.dll",Startup
- '%WINDIR%\syswow64\rundll32.exe' "%LOCALAPPDATA%\mspche.dll",iep
