Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Ozjao' = '"%APPDATA%\Neydxy\ozjao.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Neydxy\ozjao.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\JNR379.bat
- <LS_APPDATA>\joiju.fov
- %APPDATA%\Neydxy\ozjao.exe
Самоудаляется.
Сетевая активность:
UDP:
- '17#.#45.217.122':2943
- '17#.#5.148.32':6781
- '74.#.135.154':7381
- '10#.#96.239.26':9439
- '12#.#42.205.5':9943
- '81.##9.90.167':2031
- '50.##.230.91':5796
- '12#.#.46.119':5693
- '79.##.247.103':9088
- '27.##.110.77':5235
- '20#.#51.45.31':1978
- '58.##.27.142':1667
- '70.##.128.45':6596
- '10#.#28.68.96':3721
- '69.##.185.100':6123
- '81.##5.43.98':4704
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
