Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Assistant UserMode Biometric Multimedia Play] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\xcfywiyerdckkm\vdputtohszds.exe' "c:\xcfywiyerdckkm\xthkzaq.exe"
- 'C:\xcfywiyerdckkm\xthkzaq.exe'
- 'C:\xcfywiyerdckkm\ywkt8thokmhn9qeq9.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\xcfywiyerdckkm\xthkzaq.exe
- C:\xcfywiyerdckkm\vdputtohszds.exe
- C:\xcfywiyerdckkm\zhnvtqu
- %WINDIR%\xcfywiyerdckkm\yhxlxxe
- C:\xcfywiyerdckkm\yhxlxxe
- C:\xcfywiyerdckkm\ywkt8thokmhn9qeq9.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\xcfywiyerdckkm\vdputtohszds.exe
- C:\xcfywiyerdckkm\xthkzaq.exe
Удаляет следующие файлы:
- C:\xcfywiyerdckkm\ywkt8thokmhn9qeq9.exe
- %WINDIR%\xcfywiyerdckkm\yhxlxxe
Сетевая активность:
UDP:
- DNS ASK be####charge.net
- DNS ASK ri####charge.net
- DNS ASK ri#####ifference.net
- DNS ASK ri###nevery.net
- DNS ASK be#####ifference.net
- DNS ASK be####single.net
- DNS ASK de####yevery.net
- DNS ASK li#####ifference.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ri####single.net
- DNS ASK li###eevery.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
