Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Encrypting WWAN Smart Wired Font] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\zoqqhgqmhyiixe\jrknmoikcpd.exe' "c:\zoqqhgqmhyiixe\wazweljw.exe"
- 'C:\zoqqhgqmhyiixe\wazweljw.exe'
- 'C:\zoqqhgqmhyiixe\yslh8c7ulfzwsmjqcco.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\zoqqhgqmhyiixe\wazweljw.exe
- C:\zoqqhgqmhyiixe\jrknmoikcpd.exe
- C:\zoqqhgqmhyiixe\sqlxz8
- %WINDIR%\zoqqhgqmhyiixe\mudbazpq2
- C:\zoqqhgqmhyiixe\mudbazpq2
- C:\zoqqhgqmhyiixe\yslh8c7ulfzwsmjqcco.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\zoqqhgqmhyiixe\jrknmoikcpd.exe
- C:\zoqqhgqmhyiixe\wazweljw.exe
Удаляет следующие файлы:
- C:\zoqqhgqmhyiixe\yslh8c7ulfzwsmjqcco.exe
- %WINDIR%\zoqqhgqmhyiixe\mudbazpq2
Сетевая активность:
UDP:
- DNS ASK am####arrive.net
- DNS ASK we####roffice.net
- DNS ASK we####rarrive.net
- DNS ASK cl###supply.net
- DNS ASK th###supply.net
- DNS ASK am####office.net
- DNS ASK we####rsupply.net
- DNS ASK am####supply.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK we####rdistance.net
- DNS ASK am####distance.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
