Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows update 6ae8eedc
- <SYSTEM32>\tasks\windows update c0fa1b98
- <SYSTEM32>\tasks\windows update 7e71d810
- <SYSTEM32>\tasks\windows update d5098d1a
- <SYSTEM32>\tasks\windows update 8dfadab4
Вредоносные функции
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %ALLUSERSPROFILE%\23284d7c13c9\202b4e7f10ca.dat
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\00001464.tmp
- %TEMP%\a1ed.tmp
- %ALLUSERSPROFILE%\23284d7c13c9\202b4e7f10ca.dat
Удаляет файлы, которые сам же создал
- %TEMP%\00001464.tmp
- %TEMP%\pkigbaileajhjgij
Перемещает следующие файлы
- %TEMP%\a1ed.tmp в %TEMP%\pkigbaileajhjgij
- %TEMP%\00001464.tmp в %TEMP%\nhfjiaegmpabjeep
Подменяет следующие файлы
- %TEMP%\00001464.tmp
Сетевая активность
Подключается к
- 'na####in.cyphrs.com':443
- '91.##7.137.37':53
- '18#.#65.200.156':53
- '21#.#2.210.54':53
TCP
Другие
- '15#.#01.1.91':443
UDP
- DNS ASK na####in.cyphrs.com
- DNS ASK st#####unter-4-1.bit
Другое
Ищет следующие окна
- ClassName: '0902675639e3' WindowName: '0e0560513ee40'
Создает и запускает на исполнение
- '%TEMP%\00001464.tmp'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' "%ALLUSERSPROFILE%\23284d7c13c9\202b4e7f10ca.dat",DllGetClassObject hosteng
