Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\fwgmcwgsewsf.lnk
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\rsluve~1.exe
- %TEMP%\aut18dd.tmp
- %TEMP%\ixp000.tmp\mecl.exe
- %TEMP%\aut193b.tmp
- %TEMP%\ixp000.tmp\ytjzc
- %APPDATA%\mecl.exe
- %APPDATA%\ytjzc
Присваивает атрибут 'скрытый' для следующих файлов
- %HOMEPATH%\xov3acndk6igpim9\mecl.exe
- %HOMEPATH%\xov3acndk6igpim9\ytjzc
Удаляет следующие файлы
- %TEMP%\aut18dd.tmp
- %TEMP%\aut193b.tmp
- %TEMP%\ixp000.tmp\rsluve~1.exe
- %TEMP%\ixp000.tmp\mecl.exe
- %TEMP%\ixp000.tmp\ytjzc
Перемещает следующие файлы
- %APPDATA%\ytjzc в %HOMEPATH%\xov3acndk6igpim9\ytjzc
- %APPDATA%\mecl.exe в %HOMEPATH%\xov3acndk6igpim9\mecl.exe
Сетевая активность
UDP
- DNS ASK ke####inz.mooo.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\rsluve~1.exe'
- '%APPDATA%\mecl.exe' "%APPDATA%\YTJZc"
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regsvcs.exe'
- '%WINDIR%\syswow64\notepad.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\rsluve~1.exe' (со скрытым окном)
