Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Llswyyfsri.lnk
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
- '<SYSTEM32>\cmd.exe' /c copy "%TEMP%\RarSFX0\*.*" "%APPDATA%\Xkbvstnx" & exit
- '%TEMP%\RarSFX0\Llswyyfsri.exe'
- '%APPDATA%\avc-ultimate-kg.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Xkbvstnx\Csvxamvenagxeh.xml
- %APPDATA%\Xkbvstnx\Kdojkiicchmb.dat
- %APPDATA%\Xkbvstnx\Llswyyfsri.exe
- %APPDATA%\avc-ultimate-kg.exe
- %TEMP%\RarSFX0\Llswyyfsri.exe
- %TEMP%\RarSFX0\Csvxamvenagxeh.xml
- %TEMP%\RarSFX0\Kdojkiicchmb.dat
Сетевая активность:
Подключается к:
- 'mi#####ou007.ddns.me':7070
- 'ch####.no-ip.net':7070
UDP:
- DNS ASK mi#####ou007.ddns.me
- DNS ASK ch####.no-ip.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
