Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\help\0202021dsfsd.ini
- %WINDIR%\syswow64\help\1.wduxhhe
- %WINDIR%\syswow64\help\2.wduxhhe
- %WINDIR%\syswow64\wduxhhe\wduxhhe\adfcniv\m.ini
- %WINDIR%\2.ini
- %WINDIR%\help\wduxhhe.hlp
- %WINDIR%\syswow64\wduxhhe\wduxhhe\adfcniv\mvmlayy.exe
- <SYSTEM32>\spool\drivers\w32x86\3\duxhhew\duxhhew.exe
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew000.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew001.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew002.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew003.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew004.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew005.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew006.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew007.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew008.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew009.imd
- D:\recycler\s-1-5-18\dc8\duxhhew\duxhhew010.imd
- %WINDIR%\duxhhew0.ini
Сетевая активность
Подключается к
- '11#.#47.137.132':8687
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wduxhhe\wduxhhe\adfcniv\mvmlayy.exe' -close
- '%WINDIR%\syswow64\wduxhhe\wduxhhe\adfcniv\mvmlayy.exe' ;
Запускает на исполнение
- '%WINDIR%\syswow64\wduxhhe\wduxhhe\adfcniv\mvmlayy.exe' -close (со скрытым окном)
- '%WINDIR%\syswow64\wduxhhe\wduxhhe\adfcniv\mvmlayy.exe' ; (со скрытым окном)
