Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Reporting Protocol WinHTTP Bus Network] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\Reporting Protocol WinHTTP Bus Network] 'ImagePath' = 'C:\jdpjqqpspmft\dlxsbmqk.exe'
Создает следующие сервисы
- 'Reporting Protocol WinHTTP Bus Network' C:\jdpjqqpspmft\dlxsbmqk.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\jdpjqqpspmft\aqaft27cs
- C:\jdpjqqpspmft\aqaft27cs
- C:\jdpjqqpspmft\zujjd4svmjpbulppdc.exe
- C:\jdpjqqpspmft\dlxsbmqk.exe
- C:\jdpjqqpspmft\igreijltdvp.exe
- C:\jdpjqqpspmft\z8zdocyll
Присваивает атрибут 'скрытый' для следующих файлов
- C:\jdpjqqpspmft\dlxsbmqk.exe
- C:\jdpjqqpspmft\igreijltdvp.exe
Удаляет файлы, которые сам же создал
- %WINDIR%\jdpjqqpspmft\aqaft27cs
- C:\jdpjqqpspmft\zujjd4svmjpbulppdc.exe
Подменяет следующие файлы
- %WINDIR%\jdpjqqpspmft\aqaft27cs
Сетевая активность
UDP
- DNS ASK ev####gtrouble.net
- DNS ASK bu#####gpresident.net
- DNS ASK ev#####president.net
Другое
Создает и запускает на исполнение
- 'C:\jdpjqqpspmft\zujjd4svmjpbulppdc.exe'
- 'C:\jdpjqqpspmft\dlxsbmqk.exe'
- 'C:\jdpjqqpspmft\igreijltdvp.exe' "c:\jdpjqqpspmft\dlxsbmqk.exe"
