Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Awareness Wired Coordinator' = 'C:\smywaizlmw\fcyygwc.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Virtual Framework BranchCache Collector Source] 'ImagePath' = 'C:\smywaizlmw\fcyygwc.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\Virtual Framework BranchCache Collector Source] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- 'C:\smywaizlmw\pxdcovsq.exe' "c:\smywaizlmw\fcyygwc.exe"
- 'C:\smywaizlmw\fcyygwc.exe'
- 'C:\smywaizlmw\yzmk2yeqoe9iskaafkbmc.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\smywaizlmw\fcyygwc.exe
- C:\smywaizlmw\pxdcovsq.exe
- C:\smywaizlmw\rsqqaowaqr
- %WINDIR%\smywaizlmw\thcgmaoad8
- C:\smywaizlmw\thcgmaoad8
- C:\smywaizlmw\yzmk2yeqoe9iskaafkbmc.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\smywaizlmw\pxdcovsq.exe
- C:\smywaizlmw\fcyygwc.exe
Удаляет следующие файлы:
- C:\smywaizlmw\yzmk2yeqoe9iskaafkbmc.exe
- %WINDIR%\smywaizlmw\thcgmaoad8
Подменяет следующие файлы:
- %WINDIR%\smywaizlmw\thcgmaoad8
Сетевая активность:
Подключается к:
- '18#.#39.124.68':37599
- '10#.#56.58.121':45860
- '10#.#2.195.20':39160
- '92.##7.45.207':21921
- '18#.#55.237.75':28122
- '77.##7.13.68':30018
- '37.##2.223.103':22969
- '82.##7.164.91':40801
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
