Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Protection Desktop Fax AuthIP User Helper] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Protection Desktop Fax AuthIP User Helper] 'ImagePath' = 'C:\zczfcudv\pmtbkkt.exe'
Создает следующие сервисы
- 'Protection Desktop Fax AuthIP User Helper' C:\zczfcudv\pmtbkkt.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\zczfcudv\hthz6a
- C:\zczfcudv\hthz6a
- C:\zczfcudv\xcgtroj1fidtpukwq3.exe
- C:\zczfcudv\pmtbkkt.exe
- C:\zczfcudv\hfnrfalmqyv.exe
- C:\zczfcudv\m3udizap
Присваивает атрибут 'скрытый' для следующих файлов
- C:\zczfcudv\pmtbkkt.exe
- C:\zczfcudv\hfnrfalmqyv.exe
Удаляет следующие файлы
- %WINDIR%\zczfcudv\hthz6a
- C:\zczfcudv\xcgtroj1fidtpukwq3.exe
Подменяет следующие файлы
- %WINDIR%\zczfcudv\hthz6a
Сетевая активность
UDP
- DNS ASK de####training.net
- DNS ASK fo####dtraining.net
- DNS ASK de###estorm.net
- DNS ASK fo####dstorm.net
- DNS ASK de####thrown.net
- DNS ASK fo####dthrown.net
- DNS ASK an####hunger.net
- DNS ASK gl###hunger.net
Другое
Создает и запускает на исполнение
- 'C:\zczfcudv\xcgtroj1fidtpukwq3.exe'
- 'C:\zczfcudv\pmtbkkt.exe'
- 'C:\zczfcudv\hfnrfalmqyv.exe' "c:\zczfcudv\pmtbkkt.exe"
