Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Idty\fefyla.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Idty\fefyla.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmpb91429c6.bat"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmpb91429c6.bat
- <LS_APPDATA>\kaalo.bey
- %APPDATA%\Idty\fefyla.exe
Самоудаляется.
Сетевая активность:
UDP:
- '10#.#4.154.77':10640
- '18#.#4.169.226':19172
- '19#.#69.125.228':29902
- '70.##2.191.161':13503
- '78.##.114.73':10210
- '17#.#0.223.19':18883
- '81.##6.230.235':29447
- '99.#1.0.138':12952
- '99.##.164.217':10357
- '79.##5.239.10':10020
- '21#.#90.251.195':19899
- '75.##.141.163':23063
- '79.##8.49.198':27401
- '10#.#23.4.61':22313
- '75.#.222.103':11577
- '19#.#4.127.98':25549
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
