Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.lnk
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram PROGRAM="<Полный путь к файлу>" NAME="Session Win32" MODE=ENABLE PROFILE=ALL
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\ayymswjxls.bat
- <Текущая директория>\shwaye.bat
- <Текущая директория>\config\tm.t
Удаляет следующие файлы
- <Текущая директория>\config\tm.t
Подменяет следующие файлы
- <Текущая директория>\config\tm.t
Сетевая активность
Подключается к
- 'go###e.com.br':80
- 'ip###ress.com':80
TCP
Запросы HTTP GET
- http://www.go###e.com.br/
- http://www.ip###ress.com/
UDP
- DNS ASK go###e.com.br
- DNS ASK ip###ress.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'xdsr40jyvggfgkk'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\ayymswjxls.bat"" (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall delete allowedprogram program="<Полный путь к файлу>" profile=All
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\shwaye.bat"" (со скрытым окном)
