Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\Currentversion\Run] '{96E5DA79-556D-BCA0-6AC4-4881A7315283}' = '%APPDATA%\Erehy\tyjopi.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\sihost.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\taskhostw.exe
- %WINDIR%\explorer.exe
- %WINDIR%\systemapps\microsoft.windows.startmenuexperiencehost_cw5n1h2txyewy\startmenuexperiencehost.exe
- <SYSTEM32>\runtimebroker.exe
- %WINDIR%\systemapps\microsoft.windows.search_cw5n1h2txyewy\searchapp.exe
- <SYSTEM32>\dllhost.exe
- <SYSTEM32>\securityhealthsystray.exe
- <SYSTEM32>\oobe\useroobebroker.exe
- %WINDIR%\syswow64\cmd.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\erehy\tyjopi.exe
- %TEMP%\tmp5f2d088d.bat
Самоудаляется.
Сетевая активность
UDP
- '76.##7.179.15':17801
- '64.##9.121.189':13503
- '50.##.177.24':25517
- '71.##.56.253':22652
- '17#.#3.85.137':19123
- '94.#5.0.48':10408
- '24.##0.165.58':21251
- '69.#9.74.6':14775
- '94.##.185.188':26120
- '96.##.35.109':14435
- '95.##7.203.147':10047
Другое
Создает и запускает на исполнение
- '%APPDATA%\erehy\tyjopi.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmp5f2d088d.bat" (со скрытым окном)
