Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\AutoConnect TPM NGEN UPnP] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\AutoConnect TPM NGEN UPnP] 'ImagePath' = 'C:\vcdikvfj\khmhgsmrve.exe'
Создает следующие сервисы
- 'AutoConnect TPM NGEN UPnP' C:\vcdikvfj\khmhgsmrve.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\vcdikvfj\lrzygr9
- C:\vcdikvfj\lrzygr9
- C:\vcdikvfj\qkvlvdug0y0kricbj.exe
- C:\vcdikvfj\khmhgsmrve.exe
- C:\vcdikvfj\tktaswiuyrz.exe
- C:\vcdikvfj\l46iplzlf01r
Присваивает атрибут 'скрытый' для следующих файлов
- C:\vcdikvfj\khmhgsmrve.exe
- C:\vcdikvfj\tktaswiuyrz.exe
Удаляет следующие файлы
- %WINDIR%\vcdikvfj\lrzygr9
- C:\vcdikvfj\qkvlvdug0y0kricbj.exe
Подменяет следующие файлы
- %WINDIR%\vcdikvfj\lrzygr9
Сетевая активность
Подключается к
- '34.##9.100.209':443
UDP
- DNS ASK ge###ewheat.net
- DNS ASK he###anger.net
- DNS ASK ge###eanger.net
- DNS ASK he###always.net
- DNS ASK ge####always.net
- DNS ASK he###forest.net
- DNS ASK ge####forest.net
- DNS ASK va####swheat.net
Другое
Создает и запускает на исполнение
- 'C:\vcdikvfj\qkvlvdug0y0kricbj.exe'
- 'C:\vcdikvfj\khmhgsmrve.exe'
- 'C:\vcdikvfj\tktaswiuyrz.exe' "c:\vcdikvfj\khmhgsmrve.exe"
