Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\help\0202021dsfsd.ini
- %WINDIR%\syswow64\help\1.oceyxly
- %WINDIR%\syswow64\help\2.oceyxly
- %WINDIR%\syswow64\oceyxly\oceyxly\eeqdqcn\m.ini
- %WINDIR%\2.ini
- %WINDIR%\help\oceyxly.hlp
- %WINDIR%\syswow64\oceyxly\oceyxly\eeqdqcn\klwmcoy.exe
- <SYSTEM32>\spool\drivers\w32x86\3\ceyxlyo\ceyxlyo.exe
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo000.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo001.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo002.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo003.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo004.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo005.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo006.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo007.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo008.imd
- D:\recycler\s-1-5-18\dc8\ceyxlyo\ceyxlyo009.imd
Сетевая активность
Подключается к
- 'mo#####.map.fastly.net':443
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK mo#####.map.fastly.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\oceyxly\oceyxly\eeqdqcn\klwmcoy.exe' -close
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -NetworkService
- '%WINDIR%\syswow64\oceyxly\oceyxly\eeqdqcn\klwmcoy.exe' -close (со скрытым окном)
