Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\SPP AuthIP Diagnostic SSDP Registrar Human Block] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\epupzwegqzqztl\azxvajgbq.exe' "c:\epupzwegqzqztl\iuvafatxj.exe"
- 'C:\epupzwegqzqztl\iuvafatxj.exe'
- 'C:\epupzwegqzqztl\pfq8t8kkihzdajwandpb.exe'
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' "-queuereporting_svc" "C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_iuvafatxj.exe_b31ae7b760b74d53a2e6d2e50842c8053c12bf7_cab_0222a4d6"
Изменения в файловой системе:
Создает следующие файлы:
- C:\epupzwegqzqztl\iuvafatxj.exe
- C:\epupzwegqzqztl\azxvajgbq.exe
- C:\epupzwegqzqztl\hggpqpjc8hnv
- %WINDIR%\epupzwegqzqztl\tbufcaj
- C:\epupzwegqzqztl\tbufcaj
- C:\epupzwegqzqztl\pfq8t8kkihzdajwandpb.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\epupzwegqzqztl\azxvajgbq.exe
- C:\epupzwegqzqztl\iuvafatxj.exe
Удаляет следующие файлы:
- C:\epupzwegqzqztl\pfq8t8kkihzdajwandpb.exe
- %WINDIR%\epupzwegqzqztl\tbufcaj
Перемещает следующие файлы:
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_iuvafatxj.exe_b31ae7b760b74d53a2e6d2e50842c8053c12bf7_cab_0222a4d6\Report.wer.tmp в C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_iuvafatxj.exe_b31ae7b760b74d53a2e6d2e50842c8053c12bf7_cab_0222a4d6\Report.wer
Сетевая активность:
UDP:
- DNS ASK ef###twheat.net
- DNS ASK su####forest.net
- DNS ASK ef###tanger.net
- DNS ASK th####hwheat.net
- DNS ASK wi####forest.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK su###ranger.net
- DNS ASK su####always.net
- DNS ASK wi####always.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
