Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Nuex' = '"%APPDATA%\Xuaf\nuex.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Xuaf\nuex.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\yjohah.ory
- %APPDATA%\Xuaf\nuex.exe
Сетевая активность:
UDP:
- '83.##.214.39':13647
- '41.##3.148.193':16876
- '67.##5.51.163':17797
- '18#.#41.97.79':16114
- '18#.#24.226.182':15726
- '19#.#2.161.35':23153
- '22#.#07.98.2':25800
- '69.##.132.197':20764
- '21#.#36.170.128':29217
- '99.##.152.226':27763
- '11#.#41.232.184':28527
- '76.##.184.106':25129
- '94.##.207.27':10074
- '19#.#5.205.245':11934
- '79.##.186.127':12827
- '82.#6.42.48':22899
- '18#.#.188.58':27069
- '19#.#2.103.170':14183
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
