Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '*WQ9MSFF' = ''
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "%HOMEPATH%\Local Settings\dJzNDAaa\AiTrHK--.8jM",HFF8
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Скрывает следующие процессы:
- <SYSTEM32>\rundll32.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\dJzNDAaa\l5krBcljzlclRppn0MBzR2n7zW2.bh3
- <LS_APPDATA>\PUTTY.RND
- %HOMEPATH%\Local Settings\dJzNDAaa\l5krcllzlcllllllllllllllll.bh3
- %HOMEPATH%\Local Settings\dJzNDAaa\l5krBc7676clRppn0MBzjznFR2j.bh3
- %HOMEPATH%\Local Settings\dJzNDAaa\l5krBcljzRclRppn0MBzjjzl0Rp.bh3
- %HOMEPATH%\Local Settings\dJzNDAaa\4ID68fBB.K5z
- %HOMEPATH%\Local Settings\dJzNDAaa\JEdc4iOO.XsU
- %HOMEPATH%\Local Settings\dJzNDAaa\AiTrHK--.8jM
- %HOMEPATH%\Local Settings\dJzNDAaa\SbkLaDCC.T0f
- %HOMEPATH%\Local Settings\dJzNDAaa\WrZ7Vbzz.dYI
- %HOMEPATH%\Local Settings\dJzNDAaa\uyfGkzww.M2A
Сетевая активность:
Подключается к:
- 'localhost':22
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
