Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\DQUPYhWYBINE.lnk
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=out name=Win2y2 program="<SYSTEM32>\wscript.exe"
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=in name=Win2y2 program="<SYSTEM32>\wscript.exe"
- '<SYSTEM32>\netsh.exe' advfirewall firewall delete rule profile=any name=Win2y2
- '%APPDATA%\KUJB.exe' "%APPDATA%\KUJBY.au3"
- '<SYSTEM32>\wscript.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wscript.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\KUJB.exe
- %APPDATA%\KUJBY.au3
- %TEMP%\aut1.tmp
- %TEMP%\pzutnqn
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\AJxKhHlLJdGaomMP\KUJBY.au3
- %HOMEPATH%\AJxKhHlLJdGaomMP\KUJB.exe
Удаляет следующие файлы:
- %TEMP%\pzutnqn
- %TEMP%\aut1.tmp
Перемещает следующие файлы:
- %APPDATA%\KUJB.exe в %HOMEPATH%\AJxKhHlLJdGaomMP\KUJB.exe
- %APPDATA%\KUJBY.au3 в %HOMEPATH%\AJxKhHlLJdGaomMP\KUJBY.au3
Сетевая активность:
Подключается к:
- '18#.#1.158.123':1158
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
