Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Spooler Driver Group Time Procedure] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\Spooler Driver Group Time Procedure] 'ImagePath' = 'C:\cfgtngbaianlwl\yfqwmgytw.exe'
Создает следующие сервисы
- 'Spooler Driver Group Time Procedure' C:\cfgtngbaianlwl\yfqwmgytw.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\cfgtngbaianlwl\thosgktsydyt
- C:\cfgtngbaianlwl\thosgktsydyt
- C:\cfgtngbaianlwl\fdtek31isnnosnkq32ryd.exe
- C:\cfgtngbaianlwl\yfqwmgytw.exe
- C:\cfgtngbaianlwl\wvijfdzi.exe
Присваивает атрибут 'скрытый' для следующих файлов
- C:\cfgtngbaianlwl\yfqwmgytw.exe
- C:\cfgtngbaianlwl\wvijfdzi.exe
Удаляет файлы, которые сам же создал
- %WINDIR%\cfgtngbaianlwl\thosgktsydyt
- C:\cfgtngbaianlwl\fdtek31isnnosnkq32ryd.exe
Подменяет следующие файлы
- %WINDIR%\cfgtngbaianlwl\thosgktsydyt
Сетевая активность
UDP
- DNS ASK hu####dletter.net
- DNS ASK jo#####different.net
- DNS ASK hu#####different.net
Другое
Создает и запускает на исполнение
- 'C:\cfgtngbaianlwl\fdtek31isnnosnkq32ryd.exe'
- 'C:\cfgtngbaianlwl\yfqwmgytw.exe'
- 'C:\cfgtngbaianlwl\wvijfdzi.exe' "c:\cfgtngbaianlwl\yfqwmgytw.exe"
