Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WebClient Biometric Computer Resource' = 'C:\yhxcwuylp\ujafblvxtoz.exe'
Вредоносные функции:
Запускает на исполнение:
- 'C:\yhxcwuylp\zokwfiz.exe' "c:\yhxcwuylp\ujafblvxtoz.exe"
- 'C:\yhxcwuylp\ujafblvxtoz.exe'
- 'C:\yhxcwuylp\doh2h2lzvb08nejjo.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\yhxcwuylp\ujafblvxtoz.exe
- C:\yhxcwuylp\zokwfiz.exe
- C:\yhxcwuylp\hovk6zobx
- %WINDIR%\yhxcwuylp\yoaoqej0hfuk
- C:\yhxcwuylp\yoaoqej0hfuk
- C:\yhxcwuylp\doh2h2lzvb08nejjo.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\yhxcwuylp\zokwfiz.exe
- C:\yhxcwuylp\ujafblvxtoz.exe
Удаляет следующие файлы:
- C:\yhxcwuylp\doh2h2lzvb08nejjo.exe
- %WINDIR%\yhxcwuylp\yoaoqej0hfuk
Подменяет следующие файлы:
- %WINDIR%\yhxcwuylp\yoaoqej0hfuk
Сетевая активность:
Подключается к:
- '20#.#23.152.97':27682
- '78.#7.87.58':21017
- '79.##7.196.121':45688
- '72.##1.207.62':22399
- '84.##8.128.25':27132
- '77.##7.13.68':30018
- '95.##.58.101':23245
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
