Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Defragmenter PnP-X Manager Instrumentation SNMP] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\mrbuzvmifmdkz\kkvwiwf.exe' "c:\mrbuzvmifmdkz\fnnkoqsbgmk.exe"
- 'C:\mrbuzvmifmdkz\fnnkoqsbgmk.exe'
- 'C:\mrbuzvmifmdkz\d47zxebkel5elk4kvse.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\mrbuzvmifmdkz\fnnkoqsbgmk.exe
- C:\mrbuzvmifmdkz\kkvwiwf.exe
- C:\mrbuzvmifmdkz\syrtx2dib
- %WINDIR%\mrbuzvmifmdkz\tfxqbyvvr4p
- C:\mrbuzvmifmdkz\tfxqbyvvr4p
- C:\mrbuzvmifmdkz\d47zxebkel5elk4kvse.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\mrbuzvmifmdkz\kkvwiwf.exe
- C:\mrbuzvmifmdkz\fnnkoqsbgmk.exe
Удаляет следующие файлы:
- C:\mrbuzvmifmdkz\d47zxebkel5elk4kvse.exe
- %WINDIR%\mrbuzvmifmdkz\tfxqbyvvr4p
Сетевая активность:
UDP:
- DNS ASK mi####president.net
- DNS ASK tw####trouble.net
- DNS ASK tw####president.net
- DNS ASK tw####caught.net
- DNS ASK mi####caught.net
- DNS ASK mi####trouble.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK of###caught.net
- DNS ASK al###caught.net
- DNS ASK tw####strong.net
- DNS ASK mi####strong.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
