Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Tablet Manager Web Audio] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\zgkaepqs\nbtyttpdrmaf.exe' "c:\zgkaepqs\fpotwmrscvvi.exe"
- 'C:\zgkaepqs\fpotwmrscvvi.exe'
- 'C:\zgkaepqs\xx9gjipulhbc7a7wu.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\zgkaepqs\fpotwmrscvvi.exe
- C:\zgkaepqs\nbtyttpdrmaf.exe
- C:\zgkaepqs\rg5tzg
- %WINDIR%\zgkaepqs\gjgp4f
- C:\zgkaepqs\gjgp4f
- C:\zgkaepqs\xx9gjipulhbc7a7wu.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\zgkaepqs\nbtyttpdrmaf.exe
- C:\zgkaepqs\fpotwmrscvvi.exe
Удаляет следующие файлы:
- C:\zgkaepqs\xx9gjipulhbc7a7wu.exe
- %WINDIR%\zgkaepqs\gjgp4f
Сетевая активность:
UDP:
- DNS ASK di####ultforest.net
- DNS ASK he###always.net
- DNS ASK he###forest.net
- DNS ASK ne####arywheat.net
- DNS ASK pl####ntwheat.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK he###wheat.net
- DNS ASK di####ultanger.net
- DNS ASK di####ultalways.net
- DNS ASK he###anger.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
