Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Adaptive Coordinator Counter Device Level' = '%APPDATA%\govogzimnjco\bqbdaeopqw.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\govogzimnjco\zzkdhndbrl.exe' "%APPDATA%\govogzimnjco\bqbdaeopqw.exe"
- '%APPDATA%\govogzimnjco\bqbdaeopqw.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\govogzimnjco\bqbdaeopqw.aklfq
- %APPDATA%\govogzimnjco\zzkdhndbrl.exe
- %APPDATA%\govogzimnjco\bqbdaeopqw.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\govogzimnjco\bqbdaeopqw.exe
Сетевая активность:
Подключается к:
- 'th####uccess.net':80
- 'pr####tspring.net':80
- 'th###spring.net':80
- 'pr####tbanker.net':80
- 'th###banker.net':80
- 'pr####tsuccess.net':80
- 'th###before.net':80
- 'cl###device.net':80
- 'th###device.net':80
- 'pr####tfound.net':80
- 'th###found.net':80
- 'cl###before.net':80
- 'ch###found.net':80
- 'al###found.net':80
- 'of###found.net':80
- 'co####ebanker.net':80
- 'of####uccess.net':80
- 'al###spring.net':80
- 'of###spring.net':80
- 'co####espring.net':80
- 'ch###spring.net':80
- 'co####efound.net':80
- 'ch###banker.net':80
- 'co####esuccess.net':80
- 'ch####uccess.net':80
- 'hi####ylanguage.net':80
- 'st####elanguage.net':80
- 'hi####ysettle.net':80
- 'st####ebefore.net':80
- 'hi####ydevice.net':80
- 'st####edevice.net':80
- 'mo####gdevice.net':80
- 'ra####device.net':80
- 'mo####glanguage.net':80
- 'st####esettle.net':80
- 'mo####gbefore.net':80
- 'ra####before.net':80
- 'hi####ybefore.net':80
- 'th###settle.net':80
- 'we####rbefore.net':80
- 'am####before.net':80
- 'cl####anguage.net':80
- 'th####anguage.net':80
- 'cl###settle.net':80
- 'am####language.net':80
- 'we####rsettle.net':80
- 'am####settle.net':80
- 'we####rdevice.net':80
- 'am####device.net':80
- 'we####rlanguage.net':80
TCP:
Запросы HTTP GET:
- http://th####uccess.net/index.php?em#################################################
- http://pr####tspring.net/index.php?em#################################################
- http://th###spring.net/index.php?em#################################################
- http://pr####tbanker.net/index.php?em#################################################
- http://th###banker.net/index.php?em#################################################
- http://pr####tsuccess.net/index.php?em#################################################
- http://th###before.net/index.php?em#################################################
- http://cl###device.net/index.php?em#################################################
- http://th###device.net/index.php?em#################################################
- http://pr####tfound.net/index.php?em#################################################
- http://th###found.net/index.php?em#################################################
- http://cl###before.net/index.php?em#################################################
- http://ch###found.net/index.php?em#################################################
- http://al###found.net/index.php?em#################################################
- http://of###found.net/index.php?em#################################################
- http://co####ebanker.net/index.php?em#################################################
- http://of####uccess.net/index.php?em#################################################
- http://al###spring.net/index.php?em#################################################
- http://of###spring.net/index.php?em#################################################
- http://co####espring.net/index.php?em#################################################
- http://ch###spring.net/index.php?em#################################################
- http://co####efound.net/index.php?em#################################################
- http://ch###banker.net/index.php?em#################################################
- http://co####esuccess.net/index.php?em#################################################
- http://ch####uccess.net/index.php?em#################################################
- http://hi####ylanguage.net/index.php?em#################################################
- http://st####elanguage.net/index.php?em#################################################
- http://hi####ysettle.net/index.php?em#################################################
- http://st####ebefore.net/index.php?em#################################################
- http://hi####ydevice.net/index.php?em#################################################
- http://st####edevice.net/index.php?em#################################################
- http://mo####gdevice.net/index.php?em#################################################
- http://ra####device.net/index.php?em#################################################
- http://mo####glanguage.net/index.php?em#################################################
- http://st####esettle.net/index.php?em#################################################
- http://mo####gbefore.net/index.php?em#################################################
- http://ra####before.net/index.php?em#################################################
- http://hi####ybefore.net/index.php?em#################################################
- http://th###settle.net/index.php?em#################################################
- http://we####rbefore.net/index.php?em#################################################
- http://am####before.net/index.php?em#################################################
- http://cl####anguage.net/index.php?em#################################################
- http://th####anguage.net/index.php?em#################################################
- http://cl###settle.net/index.php?em#################################################
- http://am####language.net/index.php?em#################################################
- http://we####rsettle.net/index.php?em#################################################
- http://am####settle.net/index.php?em#################################################
- http://we####rdevice.net/index.php?em#################################################
- http://am####device.net/index.php?em#################################################
- http://we####rlanguage.net/index.php?em#################################################
UDP:
- DNS ASK pr####tsuccess.net
- DNS ASK th####uccess.net
- DNS ASK pr####tspring.net
- DNS ASK ch###found.net
- DNS ASK pr####tbanker.net
- DNS ASK th###banker.net
- DNS ASK cl###before.net
- DNS ASK th###before.net
- DNS ASK cl###device.net
- DNS ASK th###spring.net
- DNS ASK pr####tfound.net
- DNS ASK th###found.net
- DNS ASK co####efound.net
- DNS ASK of###spring.net
- DNS ASK al###found.net
- DNS ASK of###found.net
- DNS ASK al####uccess.net
- DNS ASK of####uccess.net
- DNS ASK al###spring.net
- DNS ASK ch####uccess.net
- DNS ASK co####espring.net
- DNS ASK ch###spring.net
- DNS ASK co####ebanker.net
- DNS ASK ch###banker.net
- DNS ASK co####esuccess.net
- DNS ASK th###device.net
- DNS ASK hi####ylanguage.net
- DNS ASK st####elanguage.net
- DNS ASK hi####ysettle.net
- DNS ASK st####ebefore.net
- DNS ASK hi####ydevice.net
- DNS ASK st####edevice.net
- DNS ASK mo####gdevice.net
- DNS ASK ra####device.net
- DNS ASK mo####glanguage.net
- DNS ASK st####esettle.net
- DNS ASK mo####gbefore.net
- DNS ASK ra####before.net
- DNS ASK hi####ybefore.net
- DNS ASK th###settle.net
- DNS ASK we####rbefore.net
- DNS ASK am####before.net
- DNS ASK cl####anguage.net
- DNS ASK th####anguage.net
- DNS ASK cl###settle.net
- DNS ASK am####language.net
- DNS ASK we####rsettle.net
- DNS ASK am####settle.net
- DNS ASK we####rdevice.net
- DNS ASK am####device.net
- DNS ASK we####rlanguage.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
