Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\weyuhwef7u] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\weyuhwef7u] 'ImagePath' = '<SYSTEM32>\svchost.exe -k netsvcs'
- [HKLM\SYSTEM\CurrentControlSet\Services\weyuhwef7u\Parameters] 'ServiceDll' = '%ProgramFiles(x86)%\weyuhwef7u\weyuhwef7u.dll'
Создает следующие сервисы
- 'weyuhwef7u' <SYSTEM32>\svchost.exe -k netsvcs
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsd44b6.tmp
- %ProgramFiles(x86)%\weyuhwef7u\weyuhwef7u.dll
- %ProgramFiles(x86)%\weyuhwef7u\msvcp100.dll
- %ProgramFiles(x86)%\weyuhwef7u\msvcr100.dll
- %TEMP%\nsy4534.tmp\kcsfffasr.dll
- %TEMP%\nsy4534.tmp\system.dll
- %TEMP%\nsy4534.tmp\math.dll
- %TEMP%\nsy4534.tmp\dllwebcount.dll
- %TEMP%\nsy4534.tmp\selfdelete.dll
- C:\delus.bat
Удаляет файлы, которые сам же создал
- %TEMP%\nsy4534.tmp\dllwebcount.dll
- %TEMP%\nsy4534.tmp\kcsfffasr.dll
- %TEMP%\nsy4534.tmp\math.dll
- %TEMP%\nsy4534.tmp\selfdelete.dll
- %TEMP%\nsy4534.tmp\system.dll
Сетевая активность
UDP
- DNS ASK wi###w-dami.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c \DelUS.bat (со скрытым окном)
