Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\ExploreOperate.exe,'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft\windows\windows media sharing\stressstudytailwind\tradercomprehendwavelab\benefactorstress
- <SYSTEM32>\tasks\microsoft\windows\servicing\superviseadministerlinux\advocatecenter
- <SYSTEM32>\tasks\microsoft\windows\windows media sharing\stressexplainsolve\presentidentifyprimeng\chaseinvestigate
Изменяет следующие исполняемые системные файлы
- %WINDIR%\syswow64\dllhost.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\dllhost.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\advisorwatch\rjxbwgupzahvukw.exe
- %ProgramFiles(x86)%\advisorwatch\developtechniciangraceful
- %ProgramFiles(x86)%\advisorwatch\implementoptimizeryouthful
- %ProgramFiles(x86)%\advisorwatch\2_huntmanage.xml
- %ProgramFiles(x86)%\advisorwatch\2_performancesimplify.xml
- %ProgramFiles(x86)%\advisorwatch\initializeabstract.sys
- %ProgramFiles(x86)%\advisorwatch\2_advisorconcentrate.exe
- %ProgramFiles(x86)%\advisorwatch\2_exploreoperate.exe
- %ProgramFiles(x86)%\advisorwatch\huntmanage.exe
- %ProgramFiles(x86)%\advisorwatch\performancesimplify.exe
- %ProgramFiles(x86)%\advisorwatch\underlineinterpret.exe
- %WINDIR%\advisorconcentrate.exe
- %WINDIR%\exploreoperate.exe
- %WINDIR%\huntmanage.exe
- %WINDIR%\huntmanage.xml
- %WINDIR%\initializeabstract.sys
- %WINDIR%\performancesimplify.exe
- %WINDIR%\performancesimplify.xml
- %WINDIR%\underlineinterpret.exe
- %ProgramFiles(x86)%\swindowstemp\interruptsummarize.exe
- %ProgramFiles(x86)%\swindowstemp\40e0665f-d959-4774-86e5-6f6c4863add2.tmp
- %ProgramFiles(x86)%\swindowstemp\241992f6-b2cf-4aae-b3a2-c147615e6cae.tmp
- %ProgramFiles(x86)%\swindowstemp\806142db-f817-4238-90a1-e0e6f5d8e562.tmp
- %ProgramFiles(x86)%\swindowstemp\0c2ddd74-6375-423b-ae60-d2db105993c2.tmp
- %ProgramFiles(x86)%\swindowstemp\277d3e5c-d3cf-4c13-bc82-02bd27d1a4be.tmp
- %ProgramFiles(x86)%\swindowstemp\f98b79c2-070e-44de-811e-e0ffad355118.tmp
- %ProgramFiles(x86)%\swindowstemp\f1783287-c086-48cc-b41a-69d800b1947e.tmp
- %ProgramFiles(x86)%\swindowstemp\c6089fd2-a3a8-44c1-a52f-949dd1b7280d.tmp
- %ProgramFiles(x86)%\swindowstemp\a5fbf50b-b78e-48fc-ade4-006972f645d2.tmp
- %ProgramFiles(x86)%\swindowstemp\f090e063-4c6f-49d6-bad7-9520163ac523.tmp
- %ProgramFiles(x86)%\swindowstemp\63a9727a-6eb0-4744-a88e-300282815ce7.tmp
- %ProgramFiles(x86)%\swindowstemp\ae390ecb-516f-4038-a3bc-d9c01e4a75ae.tmp
- %ProgramFiles(x86)%\swindowstemp\c9ca7da5-c8b8-4c5c-8dee-3558696ee750.tmp
- %ProgramFiles(x86)%\swindowstemp\23bc0e90-3f6f-4613-afff-939382a8bc12.tmp
- %ProgramFiles(x86)%\swindowstemp\107ed1f5-46ed-47d9-8224-be9a268a3694.tmp
- %ProgramFiles(x86)%\swindowstemp\4d14a621-8897-40c9-b0f4-90124c9053d3.tmp
- %ProgramFiles(x86)%\swindowstemp\42d59b8a-9218-4f5c-8c1b-be236c8915f4.tmp
- %ProgramFiles(x86)%\swindowstemp\790412ad-6327-4f01-b84e-cab71ae9b25f.tmp
- %ProgramFiles(x86)%\swindowstemp\ae3a3f25-5166-4f56-b268-fb74f9053a0c_.tmp
- %ProgramFiles(x86)%\swindowstemp\7e997892-b16b-4fdc-a55c-ffe4a2fc6c22_.tmp
- %ProgramFiles(x86)%\swindowstemp\1ababcfb-1d25-4f7c-9dce-3cf50078939d_.tmp
- %ProgramFiles(x86)%\swindowstemp\67fc0cf0-2089-4ed3-b2f3-d9a804d3d39e_.tmp
- %ProgramFiles(x86)%\swindowstemp\a1f68785-21c7-481f-8112-e921f812437e_.tmp
- %ProgramFiles(x86)%\swindowstemp\58ca533d-2ebe-49bd-9aa0-dabb8264e89c_.tmp
- %ProgramFiles(x86)%\swindowstemp\ea9c0b3f-9a18-48b3-9806-3870ac4ebb48_.tmp
- %ProgramFiles(x86)%\swindowstemp\07ab5b12-067a-46b5-ab11-3eaea70268f7_.tmp
- %ProgramFiles(x86)%\swindowstemp\4d85eb94-ac5d-4ac2-9390-58e6ff3dcec3_.tmp
- %ProgramFiles(x86)%\swindowstemp\155343ce-f8c7-43ad-8560-e0ec7b5d8e05_.tmp
- %ProgramFiles(x86)%\swindowstemp\802d94da-c930-4fc3-ba8d-72fefd7ea4fa_.tmp
- %ProgramFiles(x86)%\swindowstemp\4c139887-308c-47c2-96f2-848b8b4d05cf_.tmp
- %ProgramFiles(x86)%\swindowstemp\b9135811-bd2a-42ed-82b1-e0156cb6fd8a_.tmp
- %ProgramFiles(x86)%\swindowstemp\c1d494d3-8b08-4c35-84dd-dbc89d8cd999_.tmp
- %ProgramFiles(x86)%\swindowstemp\83d17da9-37a3-405c-ad7c-6abbf5298f8a_.tmp
- %ProgramFiles(x86)%\swindowstemp\jdojygl1xzrezxdgzp5r76a_.log
- %ProgramFiles(x86)%\swindowstemp\5qb9mpr1q9rlugfk_.log
- %ProgramFiles(x86)%\swindowstemp\nbsbzjavwbawikf8poh6ystdjiif_.log
- %ProgramFiles(x86)%\swindowstemp\eopmjelu5yf3j6onsyfh68_.log
- %ProgramFiles(x86)%\swindowstemp\uwzecbxwpkbsvsr2m9tw_.log
- %ProgramFiles(x86)%\swindowstemp\fajmast8rljmhry1ka4afyg3so_.log
- %ProgramFiles(x86)%\swindowstemp\dhrfuxycvon7zjismdffqg1guj_.log
- %ProgramFiles(x86)%\swindowstemp\slnfwr9cflzfkbih7hmtaq_.log
- %ProgramFiles(x86)%\swindowstemp\gmyfvtok7tj5wfi_.log
- %ProgramFiles(x86)%\swindowstemp\bfu6xq16tgsg2vv_.log
- %ProgramFiles(x86)%\swindowstemp\u980kp0whyh6kweyulkcshty_.log
- %ProgramFiles(x86)%\swindowstemp\8j9oay8ffawgr_.log
- %ProgramFiles(x86)%\swindowstemp\ueaaljl6flaj5hssbzjxmsg2o_.log
- %ProgramFiles(x86)%\swindowstemp\3vnk1zabqz_.log
- %ProgramFiles(x86)%\swindowstemp\d91wfi2b8ee_.log
- %ProgramFiles(x86)%\swindowstemp\zwudiwjvlvvbkuk_.log
- %ProgramFiles(x86)%\swindowstemp\8wtipciwab6ul82ej_.log
- %ProgramFiles(x86)%\swindowstemp\xbyvzkoaihjcje1ns_.log
- %ProgramFiles(x86)%\swindowstemp\0ltxl83exftgu9osccgzae9i7mh_.log
- %ProgramFiles(x86)%\swindowstemp\0e9746f1-c503-4579-9550-af5ad3002601.log
- %ProgramFiles(x86)%\swindowstemp\39af2efa-7197-4f25-88d0-bbfde2889d00.log
- %ProgramFiles(x86)%\swindowstemp\550c9f8e-c91b-43ad-bf47-6bb97031093e.log
- %ProgramFiles(x86)%\swindowstemp\11f0064a-0d4b-4ea1-b579-c2f1f0f7ef7b.log
- %ProgramFiles(x86)%\swindowstemp\306c814a-2392-4416-b08c-e2ed78b212c3.log
- %ProgramFiles(x86)%\swindowstemp\70874031-5adf-4cfc-ad04-fddb00259a4b.log
- %ProgramFiles(x86)%\swindowstemp\6bd46eb8-6914-469a-b67c-18a81acc3d7f.log
- %ProgramFiles(x86)%\swindowstemp\657dd7f1-3759-48b5-9ea2-a055eeae0c2c.log
- %ProgramFiles(x86)%\swindowstemp\56c24a49-62a3-4164-a73b-2d7497031549.log
- %ProgramFiles(x86)%\swindowstemp\d873869c-0248-45a3-bd4f-dc19cbc8dd21.log
- %ProgramFiles(x86)%\swindowstemp\a7ba06e8-a82e-4fea-9e68-3d722ec70c53.log
- %WINDIR%\mentorlearn.exe
- %ProgramFiles(x86)%\advisorwatch\mentorlearn.exe
- %ProgramFiles(x86)%\advisorwatch\uoll6esfrbj79hynisiazqqkkx5c.tmp
- %ProgramFiles(x86)%\advisorwatch\amzql6wdpkklhb1dxy8lvz5mubchfr.tmp
- %ProgramFiles(x86)%\advisorwatch\f06q998i5trdpq.tmp
- %ProgramFiles(x86)%\advisorwatch\6qpa3wwtid78cqdew4jqbijh.tmp
- %ProgramFiles(x86)%\advisorwatch\07gahzsok4bhffkky60mq7jgnko.tmp
- %ProgramFiles(x86)%\advisorwatch\phku3gxxd9dopencawungc82728vr.tmp
- %ProgramFiles(x86)%\advisorwatch\pdl1kcj8qvp8cjtzaa2x.log
- %ProgramFiles(x86)%\advisorwatch\chwtgxzwi7x2.log
- %ProgramFiles(x86)%\advisorwatch\wcjwxvzs2zgkcjlylwzpdghmn0n.log
- %ProgramFiles(x86)%\advisorwatch\n5agypnbxcif4i7au4.log
- %ProgramFiles(x86)%\advisorwatch\ogixeoo3blqkjqgacummmqftpf1vp.log
- %ProgramFiles(x86)%\advisorwatch\mb8tnclfatiwb7ooueb.log
- %ProgramFiles(x86)%\advisorwatch\l2cevqwvmgzlzn.log
- %ProgramFiles(x86)%\advisorwatch\4jz51vc6fzd0yr4urwyhe4yzm0f9.log
- %ProgramFiles(x86)%\advisorwatch\ted4k9zuvefuseeflhmemc.log
- %ProgramFiles(x86)%\advisorwatch\dzcv85krxoudiahq3ej4hggnx4.log
- %ProgramFiles(x86)%\advisorwatch\4753e331-fb09-47c2-ab92-ae4c22e86cda.data
- %ProgramFiles(x86)%\advisorwatch\8ad95707-e8f5-41d5-912a-a938bffc0bf5.data
- %ProgramFiles(x86)%\advisorwatch\c66f9af2-5c05-46b5-a3b0-ec2fadf7e65b.data
- %ProgramFiles(x86)%\advisorwatch\faff5c27-157c-4bec-af42-fb76163a3846.data
- %ProgramFiles(x86)%\advisorwatch\6d3f1626-c7d0-409c-a961-0e167d80b2bb.data
- %ProgramFiles(x86)%\advisorwatch\a9977770-2659-458e-9611-03ad2b8df78c.data
- %ProgramFiles(x86)%\advisorwatch\9c69c197-8c7a-489b-9b6e-5371c1560485.data
- %ProgramFiles(x86)%\advisorwatch\2e56a017-3336-4be9-a4e2-7b4b003cf2bb.data
- %ProgramFiles(x86)%\advisorwatch\d4a7b0fe-64c1-4c32-8a18-66c26816a555.data
- unc\localhost\pipe\atsvc
- %LOCALAPPDATA%\windowsnt\1
- %LOCALAPPDATA%\windowsnt\2
- %LOCALAPPDATA%\windowsnt\3
- %LOCALAPPDATA%\windowsnt\p
Удаляет файлы, которые сам же создал
- %ProgramFiles(x86)%\advisorwatch\rjxbwgupzahvukw.exe
- %ProgramFiles(x86)%\advisorwatch\implementoptimizeryouthful
- %ProgramFiles(x86)%\advisorwatch\developtechniciangraceful
Перемещает следующие файлы
- %ProgramFiles(x86)%\advisorwatch\2_exploreoperate.exe в %ProgramFiles(x86)%\advisorwatch\exploreoperate.exe
- %ProgramFiles(x86)%\advisorwatch\2_advisorconcentrate.exe в %ProgramFiles(x86)%\advisorwatch\advisorconcentrate.exe
- %ProgramFiles(x86)%\advisorwatch\2_performancesimplify.xml в %ProgramFiles(x86)%\advisorwatch\performancesimplify.xml
- %ProgramFiles(x86)%\advisorwatch\2_huntmanage.xml в %ProgramFiles(x86)%\advisorwatch\huntmanage.xml
Сетевая активность
Подключается к
- '<LOCALNET>..31.8':80
- '13#.#22.184.35':15642
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
- DNS ASK ty.#63.com
- DNS ASK 52#####regfdgfd.cyou
- DNS ASK yg#.163.com
- DNS ASK 52###fews.icu
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\advisorwatch\rjxbwgupzahvukw.exe' x "%ProgramFiles(x86)%\AdvisorWatch\DevelopTechnicianGraceful" -p45-77ebtdXAdaptProtectorKind "-o%ProgramFiles(x86)%\AdvisorWatch" -y
- '%ProgramFiles(x86)%\advisorwatch\rjxbwgupzahvukw.exe' x "%ProgramFiles(x86)%\AdvisorWatch\ImplementOptimizerYouthful" "-o%ProgramFiles(x86)%\AdvisorWatch" -p7}]52vGoBhIncreaseWorkerMajestic -x!1_ExploreOperate.exe -x!1_AdvisorConcentrate.exe -x!yn...
- '%WINDIR%\exploreoperate.exe' -AdvisorWatchd Adviso -AdvisorWatchS rWatch -AdvisorWatchP 1090
- '%ProgramFiles(x86)%\swindowstemp\interruptsummarize.exe'
- '%WINDIR%\advisorconcentrate.exe'
- '%WINDIR%\mentorlearn.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\wbem\wmic.exe' process get name
- '%WINDIR%\syswow64\dllhost.exe' /Processid:{13B6B196-AD7B-4C7F-9BDC-B1CB2EE86552} (со скрытым окном)
- '%ProgramFiles(x86)%\swindowstemp\interruptsummarize.exe' (со скрытым окном)
- '%WINDIR%\mentorlearn.exe' (со скрытым окном)
