Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Reporting Smart Certificate Link-Layer Tablet] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\obvpxgac\arzwyitolfse.exe' "c:\obvpxgac\lleetmmq.exe"
- 'C:\obvpxgac\lleetmmq.exe'
- 'C:\obvpxgac\wxqs8ql8fdeumqqshznd.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\obvpxgac\lleetmmq.exe
- C:\obvpxgac\arzwyitolfse.exe
- C:\obvpxgac\xgqyly
- %WINDIR%\obvpxgac\wqhtdlu
- C:\obvpxgac\wqhtdlu
- C:\obvpxgac\wxqs8ql8fdeumqqshznd.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\obvpxgac\arzwyitolfse.exe
- C:\obvpxgac\lleetmmq.exe
Удаляет следующие файлы:
- C:\obvpxgac\wxqs8ql8fdeumqqshznd.exe
- %WINDIR%\obvpxgac\wqhtdlu
Сетевая активность:
UDP:
- DNS ASK re####banker.net
- DNS ASK el####icsuccess.net
- DNS ASK el####icbanker.net
- DNS ASK tr###found.net
- DNS ASK st###tfound.net
- DNS ASK re####success.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK re###dfound.net
- DNS ASK el####icfound.net
- DNS ASK el####icspring.net
- DNS ASK re####spring.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
