Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Enumerator Disk Bluetooth Key' = 'C:\jlwzfomvxka\dzdjeaceedd.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Level COM+ Office Coordinator VC Server] 'ImagePath' = 'C:\jlwzfomvxka\dzdjeaceedd.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Level COM+ Office Coordinator VC Server] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\jlwzfomvxka\nkfcndthhi.exe' "c:\jlwzfomvxka\dzdjeaceedd.exe"
- 'C:\jlwzfomvxka\dzdjeaceedd.exe'
- 'C:\jlwzfomvxka\lmt2j01hvqlr74t8.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\jlwzfomvxka\dzdjeaceedd.exe
- C:\jlwzfomvxka\nkfcndthhi.exe
- C:\jlwzfomvxka\s9mbwj2rt
- %WINDIR%\jlwzfomvxka\bgzvau3u
- C:\jlwzfomvxka\bgzvau3u
- C:\jlwzfomvxka\lmt2j01hvqlr74t8.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\jlwzfomvxka\nkfcndthhi.exe
- C:\jlwzfomvxka\dzdjeaceedd.exe
Удаляет следующие файлы:
- C:\jlwzfomvxka\lmt2j01hvqlr74t8.exe
- %WINDIR%\jlwzfomvxka\bgzvau3u
Подменяет следующие файлы:
- %WINDIR%\jlwzfomvxka\bgzvau3u
Сетевая активность:
Подключается к:
- '81.##4.87.112':37714
- '61.##6.2.217':25840
- '84.##8.128.25':27132
- '18#.#31.193.123':28122
- '18#.#50.153.254':32097
- '15#.#82.245.137':33982
- '18#.#22.43.28':46084
- '41.##.10.183':48405
- '18#.#23.70.113':37727
- '77.##8.205.139':22969
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
