Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\gjfnjqdf
Вредоносные функции
Создает и запускает на исполнение
- 'C:\users\public\libraries\<Имя файла>.js.pif'
- 'C:\users\public\libraries\fdqjnfjg.pif'
Внедряет код в
следующие пользовательские процессы:
- fdqjnfjg.pif
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\libraries\<Имя файла>.js.pif
- C:\users\public\libraries\gjfnjqdf.url
- %ALLUSERSPROFILE%\672.cmd
- C:\users\public\libraries\fdqjnfjg.pif
Перемещает следующие файлы
- C:\users\public\libraries\<Имя файла>.js.pif в C:\users\public\libraries\gjfnjqdf.pif
Сетевая активность
Подключается к
- 'ch##########frankokiteamaekeibeku.ydns.eu':20909
UDP
- DNS ASK ch##########frankokiteamaekeibeku.ydns.eu
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C:\\ProgramData\\672.cmd (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 10 /tn "Gjfnjqdf" /tr C:\Users\Public\Libraries\\Gjfnjqdf.url"
