Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\PgJTacYOKPUM.lnk
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe'
- '%APPDATA%\fFOS.exe' "%APPDATA%\IdVha.au3"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wscript.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\.Identifier
- %APPDATA%\IdVha.au3
- %APPDATA%\fFOS.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\.Identifier
- %HOMEPATH%\ULxOC1zXgfPqjyx4\IdVha.au3
- %HOMEPATH%\ULxOC1zXgfPqjyx4\fFOS.exe
Перемещает следующие файлы:
- %APPDATA%\fFOS.exe в %HOMEPATH%\ULxOC1zXgfPqjyx4\fFOS.exe
- %APPDATA%\IdVha.au3 в %HOMEPATH%\ULxOC1zXgfPqjyx4\IdVha.au3
Сетевая активность:
Подключается к:
- 'd0####5.duckdns.org':10044
- 'su#####win.dyndns.pro':10044
- 'mi######t01.system-ns.net':10044
UDP:
- DNS ASK d0####5.duckdns.org
- DNS ASK su#####win.dyndns.pro
- DNS ASK mi######t01.system-ns.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
