Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '8rIKFDmhC8' = '%APPDATA%\winmm.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\8rikfdmhc8
- <SYSTEM32>\tasks\8rikfdmhc8svc
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f2dceefwztf2fvwe5rdjdrud7e\winmm.dll
- %TEMP%\f2dceefwztf2fvwe5rdjdrud7e\winmm.exe
- %TEMP%\tmpce5c.tmp
- %APPDATA%\winmm.dll
- %APPDATA%\winmm.exe
Удаляет файлы, которые сам же создал
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\wxyzcn5w\dll0[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\paot709x\service[1].htm
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\ie\wxyzcn5w\service[1].htm
Сетевая активность
Подключается к
- 'drive.usercontent.google.com':443
- '19#.#32.210.172':80
- '17#.#6.52.65':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?83##############
- http://17#.#6.52.65/success?su#############################
Другие
- 'drive.usercontent.google.com':443
UDP
- DNS ASK drive.usercontent.google.com
Другое
Создает и запускает на исполнение
- '%TEMP%\f2dceefwztf2fvwe5rdjdrud7e\winmm.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /tn "8rIKFDmhC8" /tr "%APPDATA%\winmm.exe" /sc onlogon /rl highest /f (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "8rIKFDmhC8Svc" /tr "%APPDATA%\winmm.exe" /sc onstart /ru SYSTEM /rl highest /f (со скрытым окном)
