Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\System Netlogon Layer SNMP Portable] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\System Netlogon Layer SNMP Portable] 'ImagePath' = 'C:\zotlofqk\efclvwh.exe'
Создает следующие сервисы
- 'System Netlogon Layer SNMP Portable' C:\zotlofqk\efclvwh.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\zotlofqk\naymeczp
- C:\zotlofqk\naymeczp
- C:\zotlofqk\q8jn4bpbwnv2drd48b.exe
- C:\zotlofqk\efclvwh.exe
- C:\zotlofqk\afqxlakhs.exe
- C:\zotlofqk\q6rkonat
Присваивает атрибут 'скрытый' для следующих файлов
- C:\zotlofqk\efclvwh.exe
- C:\zotlofqk\afqxlakhs.exe
Удаляет следующие файлы
- %WINDIR%\zotlofqk\naymeczp
- C:\zotlofqk\q8jn4bpbwnv2drd48b.exe
Подменяет следующие файлы
- %WINDIR%\zotlofqk\naymeczp
Сетевая активность
UDP
- DNS ASK de####period.net
- DNS ASK fo####dperiod.net
- DNS ASK de####however.net
- DNS ASK fo####dhowever.net
- DNS ASK an####choose.net
- DNS ASK gl###choose.net
- DNS ASK an####although.net
- DNS ASK gl####lthough.net
Другое
Создает и запускает на исполнение
- 'C:\zotlofqk\q8jn4bpbwnv2drd48b.exe'
- 'C:\zotlofqk\efclvwh.exe'
- 'C:\zotlofqk\afqxlakhs.exe' "c:\zotlofqk\efclvwh.exe"
