Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Identity Upgrade Client' = 'C:\vliwyexb\ebrldvdizsi.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Files Adaptive Distributed] 'ImagePath' = 'C:\vliwyexb\ebrldvdizsi.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Files Adaptive Distributed] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\vliwyexb\fqitdlcmzgmh.exe' "c:\vliwyexb\ebrldvdizsi.exe"
- 'C:\vliwyexb\ebrldvdizsi.exe'
- 'C:\vliwyexb\crp32qjgsj47n1a.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\vliwyexb\ebrldvdizsi.exe
- C:\vliwyexb\fqitdlcmzgmh.exe
- C:\vliwyexb\fk2pki
- %WINDIR%\vliwyexb\zxxbtfqvmsvs
- C:\vliwyexb\zxxbtfqvmsvs
- C:\vliwyexb\crp32qjgsj47n1a.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\vliwyexb\fqitdlcmzgmh.exe
- C:\vliwyexb\ebrldvdizsi.exe
Удаляет следующие файлы:
- C:\vliwyexb\crp32qjgsj47n1a.exe
- %WINDIR%\vliwyexb\zxxbtfqvmsvs
Подменяет следующие файлы:
- %WINDIR%\vliwyexb\zxxbtfqvmsvs
Сетевая активность:
Подключается к:
- '11#.#6.137.96':49919
- '10#.#46.77.146':33927
- '20#.#7.225.58':33073
- '87.##.238.184':44724
- '62.##1.108.194':20068
- '85.##.122.169':40540
- '61.##6.2.217':25840
- '84.##2.194.230':27426
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
