Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'HomeGroup Performance DNS Workstation Input' = '%APPDATA%\hpwzlrnzkbux\oosnvndiyjh.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\hpwzlrnzkbux\zpjsqycakaor.exe' "%APPDATA%\hpwzlrnzkbux\oosnvndiyjh.exe"
- '%APPDATA%\hpwzlrnzkbux\oosnvndiyjh.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\hpwzlrnzkbux\oosnvndiyjh.zblk
- %APPDATA%\hpwzlrnzkbux\zpjsqycakaor.exe
- %APPDATA%\hpwzlrnzkbux\oosnvndiyjh.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\hpwzlrnzkbux\oosnvndiyjh.exe
Сетевая активность:
Подключается к:
- 'fo####nappear.net':80
- 'su####appear.net':80
- 'fo####nbusiness.net':80
- 'wh####ranother.net':80
- 'ri###manner.net':80
- 'wh####rmanner.net':80
- 'fo####nmanner.net':80
- 'su####manner.net':80
- 'ma####eappear.net':80
- 'su####business.net':80
- 'fo####nanother.net':80
- 'su####another.net':80
- 'ri####nother.net':80
- 'fi####business.net':80
- 'th####another.net':80
- 'fi####another.net':80
- 'th####appear.net':80
- 'fi####appear.net':80
- 'th####business.net':80
- 'wh####rappear.net':80
- 'ri####usiness.net':80
- 'wh####rbusiness.net':80
- 'th####manner.net':80
- 'fi####manner.net':80
- 'ri###appear.net':80
- 'ei####divide.net':80
- 'en####hbottle.net':80
- 'ei####bottle.net':80
- 'be####emanner.net':80
- 'ex####manner.net':80
- 'en####hdivide.net':80
- 'ei####stream.net':80
- 'fa####divide.net':80
- 'ch####endivide.net':80
- 'en####hnothing.net':80
- 'ei####nothing.net':80
- 'en####hstream.net':80
- 'ex####another.net':80
- 'ma####eanother.net':80
- 'pe####another.net':80
- 'ma####emanner.net':80
- 'pe####appear.net':80
- 'ma####ebusiness.net':80
- 'pe####business.net':80
- 'be####ebusiness.net':80
- 'ex####business.net':80
- 'be####eanother.net':80
- 'pe####manner.net':80
- 'be####eappear.net':80
- 'ex####appear.net':80
TCP:
Запросы HTTP GET:
- http://fo####nappear.net/index.php?em###########################################
- http://su####appear.net/index.php?em###########################################
- http://fo####nbusiness.net/index.php?em###########################################
- http://wh####ranother.net/index.php?em###########################################
- http://ri###manner.net/index.php?em###########################################
- http://wh####rmanner.net/index.php?em###########################################
- http://fo####nmanner.net/index.php?em###########################################
- http://su####manner.net/index.php?em###########################################
- http://ma####eappear.net/index.php?em###########################################
- http://su####business.net/index.php?em###########################################
- http://fo####nanother.net/index.php?em###########################################
- http://su####another.net/index.php?em###########################################
- http://ri####nother.net/index.php?em###########################################
- http://fi####business.net/index.php?em###########################################
- http://th####another.net/index.php?em###########################################
- http://fi####another.net/index.php?em###########################################
- http://th####appear.net/index.php?em###########################################
- http://fi####appear.net/index.php?em###########################################
- http://th####business.net/index.php?em###########################################
- http://wh####rappear.net/index.php?em###########################################
- http://ri####usiness.net/index.php?em###########################################
- http://wh####rbusiness.net/index.php?em###########################################
- http://th####manner.net/index.php?em###########################################
- http://fi####manner.net/index.php?em###########################################
- http://ri###appear.net/index.php?em###########################################
- http://ei####divide.net/index.php?em###########################################
- http://en####hbottle.net/index.php?em###########################################
- http://ei####bottle.net/index.php?em###########################################
- http://be####emanner.net/index.php?em###########################################
- http://ex####manner.net/index.php?em###########################################
- http://en####hdivide.net/index.php?em###########################################
- http://ei####stream.net/index.php?em###########################################
- http://fa####divide.net/index.php?em###########################################
- http://ch####endivide.net/index.php?em###########################################
- http://en####hnothing.net/index.php?em###########################################
- http://ei####nothing.net/index.php?em###########################################
- http://en####hstream.net/index.php?em###########################################
- http://ex####another.net/index.php?em###########################################
- http://ma####eanother.net/index.php?em###########################################
- http://pe####another.net/index.php?em###########################################
- http://ma####emanner.net/index.php?em###########################################
- http://pe####appear.net/index.php?em###########################################
- http://ma####ebusiness.net/index.php?em###########################################
- http://pe####business.net/index.php?em###########################################
- http://be####ebusiness.net/index.php?em###########################################
- http://ex####business.net/index.php?em###########################################
- http://be####eanother.net/index.php?em###########################################
- http://pe####manner.net/index.php?em###########################################
- http://be####eappear.net/index.php?em###########################################
- http://ex####appear.net/index.php?em###########################################
UDP:
- DNS ASK wh####rmanner.net
- DNS ASK fo####nappear.net
- DNS ASK su####appear.net
- DNS ASK ri####nother.net
- DNS ASK wh####ranother.net
- DNS ASK ri###manner.net
- DNS ASK su####another.net
- DNS ASK fo####nmanner.net
- DNS ASK su####manner.net
- DNS ASK fo####nbusiness.net
- DNS ASK su####business.net
- DNS ASK fo####nanother.net
- DNS ASK wh####rbusiness.net
- DNS ASK th####business.net
- DNS ASK fi####business.net
- DNS ASK th####another.net
- DNS ASK pi####emanner.net
- DNS ASK th####appear.net
- DNS ASK fi####appear.net
- DNS ASK ri###appear.net
- DNS ASK wh####rappear.net
- DNS ASK ri####usiness.net
- DNS ASK fi####another.net
- DNS ASK th####manner.net
- DNS ASK fi####manner.net
- DNS ASK ma####eappear.net
- DNS ASK ei####divide.net
- DNS ASK en####hbottle.net
- DNS ASK ei####bottle.net
- DNS ASK be####emanner.net
- DNS ASK ex####manner.net
- DNS ASK en####hdivide.net
- DNS ASK ei####stream.net
- DNS ASK fa####divide.net
- DNS ASK ch####endivide.net
- DNS ASK en####hnothing.net
- DNS ASK ei####nothing.net
- DNS ASK en####hstream.net
- DNS ASK ex####another.net
- DNS ASK ma####eanother.net
- DNS ASK pe####another.net
- DNS ASK ma####emanner.net
- DNS ASK pe####appear.net
- DNS ASK ma####ebusiness.net
- DNS ASK pe####business.net
- DNS ASK be####ebusiness.net
- DNS ASK ex####business.net
- DNS ASK be####eanother.net
- DNS ASK pe####manner.net
- DNS ASK be####eappear.net
- DNS ASK ex####appear.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
