Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'VFXGNxv++pP' = '<LS_APPDATA>\Microsoft\Windows\jxmmthl.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\qnzwrwfje.tmp
- <LS_APPDATA>\Microsoft\Windows\jxmmthl.exe
Удаляет следующие файлы:
- %TEMP%\qnzwrwfje.tmp
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'zCa'
- ClassName: '' WindowName: 'bmblq '
- ClassName: '' WindowName: ' Rsab j'
- ClassName: '' WindowName: 'wg'
- ClassName: '' WindowName: 'sjv xpC'
- ClassName: '' WindowName: 'Rfn HVsw'
- ClassName: '' WindowName: ' GhKt '
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: 'rgoBYwSSYrWrz'
- ClassName: '' WindowName: 'rsyHijO uT'
- ClassName: '' WindowName: 'fq '
- ClassName: '' WindowName: 'zgfepx yE'
- ClassName: '' WindowName: ' kmhukymk'
- ClassName: '' WindowName: ' sazbircgZ d'
- ClassName: '' WindowName: 'rc znQLRhaumsMC'
- ClassName: '' WindowName: 'un nvj fkcGxOgyzn'
- ClassName: '' WindowName: 'o tzrnXtiY'
- ClassName: '' WindowName: 'ogjxAalxv'
- ClassName: '' WindowName: 'ljlewiihkka'
- ClassName: '' WindowName: ' MyOiav vzs'
- ClassName: '' WindowName: 'f YxZV'
- ClassName: '' WindowName: 'uggS'
