Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Installer Hardware Remote SNMP Fax] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Installer Hardware Remote SNMP Fax] 'ImagePath' = 'C:\gddgapmr\tjumzslvg.exe'
Создает следующие сервисы
- 'Installer Hardware Remote SNMP Fax' C:\gddgapmr\tjumzslvg.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\gddgapmr\abdsmd
- C:\gddgapmr\abdsmd
- C:\gddgapmr\qcmaddpojqpqpkwbpekg.exe
- C:\gddgapmr\tjumzslvg.exe
- C:\gddgapmr\lcscebyvaqw.exe
Присваивает атрибут 'скрытый' для следующих файлов
- C:\gddgapmr\tjumzslvg.exe
- C:\gddgapmr\lcscebyvaqw.exe
Удаляет следующие файлы
- %WINDIR%\gddgapmr\abdsmd
- C:\gddgapmr\qcmaddpojqpqpkwbpekg.exe
Подменяет следующие файлы
- %WINDIR%\gddgapmr\abdsmd
Сетевая активность
Подключается к
- '34.##9.100.209':443
UDP
- DNS ASK he###single.net
- DNS ASK di####ultcharge.net
- DNS ASK he###charge.net
- DNS ASK di#####ltdifference.net
- DNS ASK he####ifference.net
- DNS ASK di####ultevery.net
Другое
Создает и запускает на исполнение
- 'C:\gddgapmr\qcmaddpojqpqpkwbpekg.exe'
- 'C:\gddgapmr\tjumzslvg.exe'
- 'C:\gddgapmr\lcscebyvaqw.exe' "c:\gddgapmr\tjumzslvg.exe"
