Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\Transaction Acquisition WinHTTP Secondary] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\Transaction Acquisition WinHTTP Secondary] 'ImagePath' = 'C:\cygmdigo\hgdsfqaof.exe'
Создает следующие сервисы
- 'Transaction Acquisition WinHTTP Secondary' C:\cygmdigo\hgdsfqaof.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\cygmdigo\xuccly
- C:\cygmdigo\xuccly
- C:\cygmdigo\qy8iq2hjhmjz6aeo5f.exe
- C:\cygmdigo\hgdsfqaof.exe
- C:\cygmdigo\nejwdngdgoh.exe
Присваивает атрибут 'скрытый' для следующих файлов
- C:\cygmdigo\hgdsfqaof.exe
- C:\cygmdigo\nejwdngdgoh.exe
Удаляет файлы, которые сам же создал
- %WINDIR%\cygmdigo\xuccly
- C:\cygmdigo\qy8iq2hjhmjz6aeo5f.exe
Подменяет следующие файлы
- %WINDIR%\cygmdigo\xuccly
Сетевая активность
UDP
- DNS ASK co####ecentury.net
- DNS ASK ch###famous.net
- DNS ASK co####efamous.net
Другое
Создает и запускает на исполнение
- 'C:\cygmdigo\qy8iq2hjhmjz6aeo5f.exe'
- 'C:\cygmdigo\hgdsfqaof.exe'
- 'C:\cygmdigo\nejwdngdgoh.exe' "c:\cygmdigo\hgdsfqaof.exe"
