Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- yy.exe
Изменения в файловой системе
Создает следующие файлы
- <Полный путь к файлу>{ed27f379-234e-4aa9-b1a4-b14a3bdbefe7}
- <Текущая директория>\rcx7780.tmp
- <Текущая директория>\yy.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\yy.exe
Удаляет следующие файлы
- <Полный путь к файлу>{ed27f379-234e-4aa9-b1a4-b14a3bdbefe7}
Перемещает следующие файлы
- <Текущая директория>\rcx7780.tmp в <Полный путь к файлу>{ed27f379-234e-4aa9-b1a4-b14a3bdbefe7}
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\_@7751.tmp
Сетевая активность
Подключается к
- 'yy##l.com':80
- 'hu###omains.com':443
TCP
Запросы HTTP GET
- http://yy##l.com/yyroom.txt
Другие
- 'hu###omains.com':443
UDP
- DNS ASK yy##l.com
- DNS ASK hu###omains.com
- DNS ASK pi##iuwu.cn
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '<Текущая директория>\yy.exe'
