Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\hysxuqqpawfj.lnk
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\qswewsigbg.exe
- %TEMP%\aut5003.tmp
- %TEMP%\eyymvfe
- %APPDATA%\fbgj.exe
- %APPDATA%\bdaen.au3
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\bcrs1hoig0csspmz\bdaen.au3
- %HOMEPATH%\bcrs1hoig0csspmz\fbgj.exe
Удаляет следующие файлы
- %TEMP%\aut5003.tmp
- %TEMP%\eyymvfe
- %TEMP%\ixp000.tmp\qswewsigbg.exe
Перемещает следующие файлы
- %APPDATA%\bdaen.au3 в %HOMEPATH%\bcrs1hoig0csspmz\bdaen.au3
- %APPDATA%\fbgj.exe в %HOMEPATH%\bcrs1hoig0csspmz\fbgj.exe
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\qswewsigbg.exe'
- '%APPDATA%\fbgj.exe' "%APPDATA%\bDAeN.au3"
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
- '%TEMP%\ixp000.tmp\qswewsigbg.exe' (со скрытым окном)
