Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\vdbegiiuusnd.lnk
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\whjdedmans.exe
- %TEMP%\aut314c.tmp
- %TEMP%\ixp000.tmp\cbgd.exe
- %TEMP%\aut3218.tmp
- %TEMP%\ixp000.tmp\fpoka
- %APPDATA%\cbgd.exe
- %APPDATA%\fpoka
- %TEMP%\xx--xx--xx.txt
- %APPDATA%\cglogs.dat
- %TEMP%\xxx.xxx
- %TEMP%\uuu.uuu
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\bagcjb46apnhamer\cbgd.exe
- %HOMEPATH%\bagcjb46apnhamer\fpoka
- %APPDATA%\cglogs.dat
Удаляет следующие файлы
- %TEMP%\aut314c.tmp
- %TEMP%\aut3218.tmp
- %TEMP%\ixp000.tmp\whjdedmans.exe
- %TEMP%\ixp000.tmp\cbgd.exe
- %TEMP%\ixp000.tmp\fpoka
- %TEMP%\xx--xx--xx.txt
- %TEMP%\uuu.uuu
- %TEMP%\xxx.xxx
Перемещает следующие файлы
- %APPDATA%\fpoka в %HOMEPATH%\bagcjb46apnhamer\fpoka
- %APPDATA%\cbgd.exe в %HOMEPATH%\bagcjb46apnhamer\cbgd.exe
Подменяет следующие файлы
- %TEMP%\uuu.uuu
- %TEMP%\xxx.xxx
Сетевая активность
UDP
- DNS ASK gu####ria.dynu.com
- DNS ASK em####r.hopto.org
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\whjdedmans.exe'
- '%APPDATA%\cbgd.exe' "%APPDATA%\fPOKa"
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
- '%ProgramFiles(x86)%\opera\launcher.exe'
- '%TEMP%\ixp000.tmp\whjdedmans.exe' (со скрытым окном)
