Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '%HOMEPATH%\aegvvp.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\aegvvp.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\aegvvp.exe
Сетевая активность:
UDP:
- DNS ASK mu###.###tal-protection.net.ru
- DNS ASK sl###.##fehousenumber.com
- 'mu###.###tal-protection.net.ru':41801
- 'sl###.##fehousenumber.com':41801
Другое:
Ищет следующие окна:
- ClassName: 'Oawgjnfp, Vkjh. A' WindowName: 'Wpngck Iiok Altxwt'
- ClassName: 'Ufiflc. Hhjd Fxwhi' WindowName: 'Hxnpkuq, Hnbpoe'
- ClassName: 'Bqaw, Juwfu. Ffg' WindowName: 'Bwdcp, Vsnxge Wletj'
- ClassName: 'Vkjh. A' WindowName: 'Wpngck Iiok Altxwt, Oawgjnfp'
- ClassName: 'Ieckkx' WindowName: 'Ekdwsc, Ndyhnud Kdr, Dpljdhni'
- ClassName: 'Yvw, Yvpwwtd Jfrw' WindowName: 'Mngv Wchm, Twbyfu'
- ClassName: 'Qbntyb Wbk' WindowName: 'Hlew, Eiqxcks. Hvg, Obvge'
- ClassName: 'Dpljdhni, Ieckkx' WindowName: 'Ekdwsc, Ndyhnud Kdr'
- ClassName: 'Yvpwwtd Jfrw' WindowName: 'Mngv Wchm, Twbyfu, Yvw'
- ClassName: 'Cvwamfr Yvxfp Npic' WindowName: 'Nikchf Dxpm, Fj'
- ClassName: 'Gayqilsjh Vbnxx' WindowName: 'Pcssuwr. Qngdpxyxxc'
- ClassName: 'Kaxml' WindowName: 'Onupetgh, Cb, Wxyf, Marxr Wnrkpp'
- ClassName: 'Marxr Wnrkpp, Kaxml' WindowName: 'Onupetgh, Cb, Wxyf'
- ClassName: 'Pacwi Susud' WindowName: 'Rhq, Bgmwcup, Txyr, Lyrogq'
- ClassName: 'Scfkuvs Yvtd, N' WindowName: 'Ctiedqbp Kkwsqpv Kp'
- ClassName: 'Juwfu. Ffg' WindowName: 'Bwdcp, Vsnxge Wletj, Bqaw'
- ClassName: 'Lyrogq, Pacwi Susud' WindowName: 'Rhq, Bgmwcup, Txyr'
- ClassName: 'N' WindowName: 'Ctiedqbp Kkwsqpv Kp, Scfkuvs Yvtd'
- ClassName: 'Nkj' WindowName: 'Bxcod Bhexd Drcqu I, Jmtgx, Aqdjw'
- ClassName: 'Jmtgx, Aqdjw, Nkj' WindowName: 'Bxcod Bhexd Drcqu I'
- ClassName: 'Cxcs, Ecf Qipd, Y' WindowName: 'Imwnb. Cyrq Gwdd'
- ClassName: 'Sjwr Ivygf. Mxispo' WindowName: 'Fbiwqffine Djmqmvxe'
- ClassName: 'Mtmtgqb Asqv Qmu N' WindowName: 'Tkihrhj Jmbyw Rv'
- ClassName: 'Fdnrohhf. Ibqqnt' WindowName: 'Uywuafoy Ganutx'
- ClassName: 'Hwxbf Uivt Knhrpe' WindowName: 'Naxxqsr, Eslpp Pys'
- ClassName: 'Vgnku' WindowName: 'Ibiiiqx Tsi Ioybc, Chb, Lol'
- ClassName: 'Chb, Lol, Vgnku' WindowName: 'Ibiiiqx Tsi Ioybc'
- ClassName: 'Gqicaik Fc, Ebvm' WindowName: 'Gaphpu. Pgwnmll. Lp'
- ClassName: 'Vx' WindowName: 'Ddhbbcvpp, Eigf, Taguxcqx Gsvd'
- ClassName: 'Obvge, Qbntyb Wbk' WindowName: 'Hlew, Eiqxcks. Hvg'
- ClassName: 'Ebvm' WindowName: 'Gaphpu. Pgwnmll. Lp, Gqicaik Fc'
- ClassName: 'Taguxcqx Gsvd, Vx' WindowName: 'Ddhbbcvpp, Eigf'
- ClassName: 'Nqwyw Bvsyrmkofx' WindowName: 'Csifgbvn Pg, Fog'
- ClassName: 'Y' WindowName: 'Imwnb. Cyrq Gwdd, Cxcs, Ecf Qipd'
- ClassName: 'Jjgl. Tt' WindowName: 'Xskluu Gyypjjyxhy, Dkrxufnn'
- ClassName: 'Dkrxufnn, Jjgl. Tt' WindowName: 'Xskluu Gyypjjyxhy'
