Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Tablet Service Agent Studio' = 'C:\heitqxlksx\isagxhna.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\KtmRm Launcher Presentation Link-Layer Center] 'ImagePath' = 'C:\heitqxlksx\isagxhna.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\KtmRm Launcher Presentation Link-Layer Center] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\heitqxlksx\fagxlapfzslx.exe' "c:\heitqxlksx\isagxhna.exe"
- 'C:\heitqxlksx\isagxhna.exe'
- 'C:\heitqxlksx\rqsog3bo5pvskpoxgz.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\heitqxlksx\isagxhna.exe
- C:\heitqxlksx\fagxlapfzslx.exe
- C:\heitqxlksx\srjfl47y29x
- %WINDIR%\heitqxlksx\fgqo5b0
- C:\heitqxlksx\fgqo5b0
- C:\heitqxlksx\rqsog3bo5pvskpoxgz.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\heitqxlksx\fagxlapfzslx.exe
- C:\heitqxlksx\isagxhna.exe
Удаляет следующие файлы:
- C:\heitqxlksx\rqsog3bo5pvskpoxgz.exe
- %WINDIR%\heitqxlksx\fgqo5b0
Подменяет следующие файлы:
- %WINDIR%\heitqxlksx\fgqo5b0
Сетевая активность:
Подключается к:
- '80.##1.86.158':33631
- '61.##6.2.217':25840
- '93.##7.67.155':25640
- '41.#6.20.41':48405
- '18#.#5.131.224':26337
- '18#.2.4.92':44843
- '77.##7.13.68':30018
- '95.##7.243.188':49038
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
