Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' Oleaut32.dll /s
- '<SYSTEM32>\regsvr32.exe' Actxprxy.dll /s
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\winsock.bat" "
- '<SYSTEM32>\regsvr32.exe' Shdocvw.dll /s
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RGI9.tmp
- %TEMP%\RGI8.tmp
- %TEMP%\RGI7.tmp
- %TEMP%\RGIA.tmp
- %TEMP%\RGID.tmp
- %TEMP%\RGIC.tmp
- %TEMP%\RGIB.tmp
- %TEMP%\RGI6.tmp
- %WINDIR%\Temp\fycf.mod
- %TEMP%\RGI1.tmp
- %WINDIR%\winsock.bat
- %TEMP%\RGI2.tmp
- %TEMP%\RGI5.tmp
- %TEMP%\RGI4.tmp
- %TEMP%\RGI3.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к файлу>
Удаляет следующие файлы:
- %TEMP%\RGIA.tmp
- %TEMP%\RGI9.tmp
- %TEMP%\RGI8.tmp
- %TEMP%\RGID.tmp
- %TEMP%\RGIC.tmp
- %TEMP%\RGIB.tmp
- %TEMP%\RGI7.tmp
- %TEMP%\RGI3.tmp
- %TEMP%\RGI2.tmp
- %TEMP%\RGI1.tmp
- %TEMP%\RGI6.tmp
- %TEMP%\RGI5.tmp
- %TEMP%\RGI4.tmp
Самоперемещается:
- из %WINDIR%\Temp\jjotyfvyi.exe в %WINDIR%\Temp\lrimguazo.exe
- из %WINDIR%\Temp\pbikklnbc.exe в %WINDIR%\Temp\jjotyfvyi.exe
- из %WINDIR%\Temp\xoneffbgk.exe в %WINDIR%\Temp\pbikklnbc.exe
- из %WINDIR%\Temp\qanbzcnan.exe в %WINDIR%\Temp\gdzkuurpz.exe
- из %WINDIR%\Temp\oduxpxalt.exe в %WINDIR%\Temp\qanbzcnan.exe
- из %WINDIR%\Temp\lrimguazo.exe в %WINDIR%\Temp\oduxpxalt.exe
- из %WINDIR%\Temp\vpiqurleb.exe в %WINDIR%\Temp\vkzyggjmn.exe
- из %WINDIR%\Temp\jbzmplfyj.exe в %WINDIR%\Temp\vpiqurleb.exe
- из <Полный путь к файлу> в %WINDIR%\Temp\jbzmplfyj.exe
- из %WINDIR%\Temp\udtsvcbde.exe в %WINDIR%\Temp\xoneffbgk.exe
- из %WINDIR%\Temp\kfcciqhjx.exe в %WINDIR%\Temp\udtsvcbde.exe
- из %WINDIR%\Temp\vkzyggjmn.exe в %WINDIR%\Temp\kfcciqhjx.exe
Сетевая активность:
Подключается к:
- '11#.#7.140.237':701
