Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ycflvtoeegil.lnk
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\jqfawc~1.exe
- %TEMP%\autce56.tmp
- %TEMP%\ixp000.tmp\wuzr1
- %TEMP%\ixp000.tmp\wuzr.exe
- %TEMP%\autd02b.tmp
- %TEMP%\ixp000.tmp\rihzw
- %APPDATA%\wuzr.exe
- %APPDATA%\rihzw
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\xwgeektbtn9jenod\rihzw
- %HOMEPATH%\xwgeektbtn9jenod\wuzr.exe
Удаляет следующие файлы
- %TEMP%\autce56.tmp
- %TEMP%\autd02b.tmp
- %TEMP%\ixp000.tmp\jqfawc~1.exe
- %TEMP%\ixp000.tmp\rihzw
- %TEMP%\ixp000.tmp\wuzr.exe
- %TEMP%\ixp000.tmp\wuzr1
Перемещает следующие файлы
- %APPDATA%\rihzw в %HOMEPATH%\xwgeektbtn9jenod\rihzw
- %APPDATA%\wuzr.exe в %HOMEPATH%\xwgeektbtn9jenod\wuzr.exe
Сетевая активность
UDP
- DNS ASK hk#.###lightparadox.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\jqfawc~1.exe'
- '%APPDATA%\wuzr.exe' "%APPDATA%\RiHZW"
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
- '%WINDIR%\syswow64\notepad.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\jqfawc~1.exe' (со скрытым окном)
