Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '%HOMEPATH%\aegvvp.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\aegvvp.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\aegvvp.exe
Сетевая активность:
UDP:
- DNS ASK mu###.###tal-protection.net.ru
- DNS ASK sl###.##fehousenumber.com
- 'mu###.###tal-protection.net.ru':33111
- 'sl###.##fehousenumber.com':33111
Другое:
Ищет следующие окна:
- ClassName: 'Sakfux' WindowName: 'Bpsy, Jice. Regkttr, Prnrxmb'
- ClassName: 'Prnrxmb, Sakfux' WindowName: 'Bpsy, Jice. Regkttr'
- ClassName: 'Knpai Cfusmyoxf' WindowName: 'Drgbin Bjjykplv Lm'
- ClassName: 'Oeyoourwf Cgrfvm Xk' WindowName: 'Ugwgqfv Rcxd, K'
- ClassName: 'Yuggdgk Bkxssagqm' WindowName: 'Vvmgbnx Yboyn Hlmer'
- ClassName: 'Bqeoshe Goqdre Jgy' WindowName: 'Pnco Qhipict Ayhbu'
- ClassName: 'Ewlhlmfe Yvkwkpkc E' WindowName: 'Cpxjtid Ru. Lim'
- ClassName: 'Kiycbam, Ofbpak Nhq' WindowName: 'Huknt. Xpnuavgiu'
- ClassName: 'Fluoemwjg Hvrqq' WindowName: 'Iteaqw, Jhdst Keioo'
- ClassName: 'Ofbpak Nhq' WindowName: 'Huknt. Xpnuavgiu, Kiycbam'
- ClassName: 'Vri. Jod, Ujxrhr' WindowName: 'Wotiyq Ltlsl Ndei'
- ClassName: 'Pqqhr. Jbwfs. W' WindowName: 'Vppnuw. Mrjyqk N'
- ClassName: 'Ujxrhr' WindowName: 'Wotiyq Ltlsl Ndei, Vri. Jod'
- ClassName: 'Riccah' WindowName: 'Xvfdm Ndrl Apjn, Ggjhrikx'
- ClassName: 'Ggjhrikx, Riccah' WindowName: 'Xvfdm Ndrl Apjn'
- ClassName: 'Vbiwol Ofgm. Pxvxv' WindowName: 'Ejij, Fydeasv. Ou'
- ClassName: 'Drdaeqwq Cirbni' WindowName: 'Gnewa, Tmh, Sefao'
- ClassName: 'Sixn, Vqples Swht' WindowName: 'Ludh. Fcki Uutihy'
- ClassName: 'Lrjgprsuuh Jwvpraws' WindowName: 'Gclatkolo Ropal Kd'
- ClassName: 'Vqples Swht' WindowName: 'Ludh. Fcki Uutihy, Sixn'
- ClassName: 'Yfmxv Xxnma, Crihh' WindowName: 'Cjdwg, Rpbx Oijhfhp'
- ClassName: 'Dprmilt Dxljb. Vd' WindowName: 'Hxlsbwl Lhixb, Bvq'
- ClassName: 'Crihh' WindowName: 'Cjdwg, Rpbx Oijhfhp, Yfmxv Xxnma'
- ClassName: 'Chbmd. Jfsu. Gj' WindowName: 'Xyfb. Pnua. Lxsyfc'
- ClassName: 'Fibkgyx Tfqxw Pr' WindowName: 'Hpsih Lhx, Bl, Vfym'
- ClassName: 'Jniyxrc Vocv Rsqqe' WindowName: 'Yweb Upsb Elcssa'
- ClassName: 'Fpufwd Nxjxv Cpv' WindowName: 'Hcjbdpq Qapavpk Itd'
- ClassName: 'Ktgcn Srk. Pdrnl' WindowName: 'Bavkf Otu, Rmin, Ao'
- ClassName: 'Caowm. Fyb Ilbrrqe' WindowName: 'Ypviicwx Fvgx Vsue'
- ClassName: 'Ctudlhf Kqyah Pwb' WindowName: 'Yluooo Juw, Psn'
- ClassName: 'Eaqc Dnhje' WindowName: 'Dtgjfbau Uyhspmd, Rnui Ei'
- ClassName: 'Rnui Ei, Eaqc Dnhje' WindowName: 'Dtgjfbau Uyhspmd'
- ClassName: 'Vntjgy Xrcmx, Ub' WindowName: 'Psyyxfb Jqjcvpy'
- ClassName: 'Lkxial Flvnqi Yjde' WindowName: 'Rddxcuoa Cdc. Ruhug'
- ClassName: 'Ub' WindowName: 'Psyyxfb Jqjcvpy, Vntjgy Xrcmx'
- ClassName: 'Ucvje. Cvyurq. Gc' WindowName: 'Nlgewpact Qrsgycje'
- ClassName: 'Pnuif Aojaeaf. Igb' WindowName: 'Syn. Hhhxd Sqii'
- ClassName: 'Avme Swdpn Sqgwo' WindowName: 'Uvxyrpuxxr, Swgu'
- ClassName: 'B' WindowName: 'Xhauhw, Cfdcyarm R, Xoeopy. Kctthtu'
- ClassName: 'Xoeopy. Kctthtu, B' WindowName: 'Xhauhw, Cfdcyarm R'
