Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'RealtekSoftware' = '%TEMP%\RegSvcs.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RegSvcs.exe'
- '%APPDATA%\falwc\bjtso.bat' %APPDATA%\falwc\NPRLU
- '%APPDATA%\falwc\bjtso.bat' pgego.wlx
Запускает на исполнение:
- '%WINDIR%\explorer.exe'
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- skype.exe
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\falwc\vabju.agb
- %APPDATA%\falwc\wqjkh.qoe
- %APPDATA%\falwc\ttjxr.rfj
- %APPDATA%\falwc\jobcr.tth
- %APPDATA%\falwc\ompqw.wch
- %APPDATA%\falwc\fsjjj.bhj
- %APPDATA%\falwc\hgbkg.wct
- %APPDATA%\falwc\lcauh.jdd
- %APPDATA%\falwc\cgkud.wnq
- %APPDATA%\falwc\cpsvc
- %APPDATA%\falwc\ddkfw.gao
- %TEMP%\RegSvcs.exe
- %APPDATA%\falwc\NPRLU
- %APPDATA%\falwc\ebtwa.ore
- %APPDATA%\falwc\chdep.bcc
- %APPDATA%\falwc\kqael.fbl
- %APPDATA%\falwc\gogjn.kkb
- %APPDATA%\falwc\rnkdq.fun
- %APPDATA%\falwc\ucqbs.wxv
- %APPDATA%\falwc\xfmis.kdm
- %APPDATA%\falwc\cgrwr.fgo
- %APPDATA%\falwc\iiwej.mee
- %APPDATA%\falwc\bjtso.bat
- %APPDATA%\falwc\jqnkw
- %APPDATA%\falwc\rfobv.crd
- %APPDATA%\falwc\pgego.wlx
- %APPDATA%\falwc\YMQGIX
- %APPDATA%\falwc\akhnp.lhn
- %APPDATA%\falwc\jnjik.wmv
- %APPDATA%\falwc\mfucc.vld
- %APPDATA%\falwc\vebxj.fow
- %APPDATA%\falwc\jowss.ecw
- %APPDATA%\falwc\xfdbw.dbn
- %APPDATA%\falwc\hgoaa.anh
- %APPDATA%\falwc\qaebm.ipv
- %APPDATA%\falwc\htxch.wor
Удаляет следующие файлы:
- %APPDATA%\falwc\NPRLU
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
