Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Backup Auto Name Location Application File] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\zbjdfikavd\gglxigwanhz.exe' "c:\zbjdfikavd\gvnsvmchtqpc.exe"
- 'C:\zbjdfikavd\gvnsvmchtqpc.exe'
- 'C:\zbjdfikavd\vx1t7zv8skvtxm3wp2p3n.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\zbjdfikavd\gvnsvmchtqpc.exe
- C:\zbjdfikavd\gglxigwanhz.exe
- C:\zbjdfikavd\tdugu5ccl
- %WINDIR%\zbjdfikavd\kbf8wxbpdei
- C:\zbjdfikavd\kbf8wxbpdei
- C:\zbjdfikavd\vx1t7zv8skvtxm3wp2p3n.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\zbjdfikavd\gglxigwanhz.exe
- C:\zbjdfikavd\gvnsvmchtqpc.exe
Удаляет следующие файлы:
- C:\zbjdfikavd\vx1t7zv8skvtxm3wp2p3n.exe
- %WINDIR%\zbjdfikavd\kbf8wxbpdei
Сетевая активность:
UDP:
- DNS ASK va####sshort.net
- DNS ASK re####should.net
- DNS ASK re###nshort.net
- DNS ASK re####opinion.net
- DNS ASK va####sopinion.net
- DNS ASK va####sshould.net
- DNS ASK ge####opinion.net
- DNS ASK he####pinion.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ge####promise.net
- DNS ASK he####romise.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
