Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Classes\Y2G5HbzmiL\Shell\Open\Command] '' = '"%ALLUSERSPROFILE%\943158\ld5osW.exe" "%1"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\mysystemboottask_uouslc
Вредоносные функции
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoDrives' = '00020000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dllf66e.tmp
- %WINDIR%\temp\fwtsqmfile02.sqm
- %TEMP%\dllf6c.tmp
- %ALLUSERSPROFILE%\943158\ld5osw.exe
- %ALLUSERSPROFILE%\943158\fvewiz.dll
- %ALLUSERSPROFILE%\943158\longlq.cl
- %LOCALAPPDATA%\ld5osw.exe
Удаляет следующие файлы
- %TEMP%\dllf6c.tmp
- %TEMP%\dllf66e.tmp
Сетевая активность
Подключается к
- '12#.#56.120.221':8081
TCP
Другие
- '12#.#56.120.221':8081
UDP
- DNS ASK lo###qcl.top
- 'localhost':56886
- 'localhost':51591
- 'localhost':61315
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\943158\ld5osw.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /Create /TN "MySystemBootTask_UouslC" /TR "%ALLUSERSPROFILE%\943158\ld5osW.exe" /SC ONLOGON /RL HIGHEST /F (со скрытым окном)
