Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\oroikjdw.exe'
- '<SYSTEM32>\idxgxsdl.exe'
- '<SYSTEM32>\rqqdomxp.exe'
- '<SYSTEM32>\eywdqque.exe'
- '<SYSTEM32>\xynqdesp.exe'
- '<SYSTEM32>\tsbtyidt.exe'
- '<SYSTEM32>\lhwkjaoy.exe'
- '<SYSTEM32>\aictbufp.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\oroikjdw.exe
- <SYSTEM32>\idxgxsdl.exe
- <SYSTEM32>\rqqdomxp.exe
- <SYSTEM32>\eywdqque.exe
- <SYSTEM32>\lhwkjaoy.exe
- <SYSTEM32>\tsbtyidt.exe
- <SYSTEM32>\aictbufp.exe
- <SYSTEM32>\xynqdesp.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\oroikjdw.exe
- <SYSTEM32>\idxgxsdl.exe
- <SYSTEM32>\rqqdomxp.exe
- <SYSTEM32>\eywdqque.exe
- <SYSTEM32>\xynqdesp.exe
- <SYSTEM32>\tsbtyidt.exe
- <SYSTEM32>\lhwkjaoy.exe
- <SYSTEM32>\aictbufp.exe
Удаляет следующие файлы:
- %TEMP%\~DF83B5.tmp
- %TEMP%\~DF4F82.tmp
- %TEMP%\~DF99C1.tmp
- %TEMP%\~DF8369.tmp
- %TEMP%\~DFE8CC.tmp
- %TEMP%\~DF9F9.tmp
- %TEMP%\~DF3014.tmp
- %TEMP%\~DF7AC.tmp
- %TEMP%\~DF24E0.tmp
- %TEMP%\~DFD49.tmp
- %TEMP%\~DFDB95.tmp
- %TEMP%\~DFE7C.tmp
- %TEMP%\~DFBEFA.tmp
- %TEMP%\~DF7F84.tmp
Сетевая активность:
Подключается к:
- 'localhost':1046
- 'localhost':1044
- 'localhost':1049
- 'localhost':1048
- 'localhost':1042
- 'localhost':1037
- 'bl##.naver.com':80
- 'localhost':1040
- 'localhost':1039
TCP:
Запросы HTTP GET:
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
