Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
- %WINDIR%\syswow64\wbem\wmiprvse.exe
- %WINDIR%\syswow64\taskmgr.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\help\0202021dsfsd.ini
- %WINDIR%\syswow64\help\1.pucenaj
- %WINDIR%\syswow64\help\2.pucenaj
- %WINDIR%\syswow64\pucenaj\pucenaj\uubukwj\m.ini
- %WINDIR%\2.ini
- %WINDIR%\help\pucenaj.hlp
- %WINDIR%\syswow64\pucenaj\pucenaj\uubukwj\nqapnxr.exe
- <SYSTEM32>\spool\drivers\w32x86\3\ucenajp\ucenajp.exe
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp000.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp001.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp002.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp003.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp004.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp005.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp006.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp007.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp008.imd
- D:\recycler\s-1-5-18\dc8\ucenajp\ucenajp009.imd
- %WINDIR%\ucenajp4.ini
- C:\httpdownload.txt
Удаляет файлы, которые сам же создал
- %WINDIR%\syswow64\pucenaj\pucenaj\uubukwj\nqapnxr.exe
Сетевая активность
UDP
- DNS ASK sa###unzhu.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\pucenaj\pucenaj\uubukwj\nqapnxr.exe' -close
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -NetworkService
- '%WINDIR%\syswow64\pucenaj\pucenaj\uubukwj\nqapnxr.exe' -close (со скрытым окном)
