Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'YmEwGJXgpidLPI' = '%ALLUSERSPROFILE%\YmEwGJXgpidLPI.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Internet Explorer\Download] 'CheckExeSignatures' = 'no'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments] 'SaveZoneInformation' = '00000001'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations] 'LowRiskFileTypes' = '/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq...
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\ymewgjxgpidlpi.exe
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\tmpe907.tmp
Сетевая активность
Подключается к
- 'li##club.in':80
- 'li##club.in':443
TCP
Запросы HTTP GET
- http://li##club.in/pica1/440-direct
Другие
- 'li##club.in':443
UDP
- DNS ASK pu##ij.in
- DNS ASK de##vee.in
- DNS ASK re##ity.in
- DNS ASK fi###lert.org
- DNS ASK lo##ra.in
- DNS ASK li##club.in
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\ymewgjxgpidlpi.exe'
