Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\shlmvqiz.exe'
- '<SYSTEM32>\kmeilyzu.exe'
- '<SYSTEM32>\mtorfxcj.exe'
- '<SYSTEM32>\tkjzwity.exe'
- '<SYSTEM32>\exhefovl.exe'
- '<SYSTEM32>\wsbynffc.exe'
- '<SYSTEM32>\goqdylog.exe'
- '<SYSTEM32>\bhsfognm.exe'
- '<SYSTEM32>\vhxufnyw.exe'
- '<SYSTEM32>\egckveea.exe'
- '<SYSTEM32>\qmnwkvyz.exe'
- '<SYSTEM32>\ldzhxqet.exe'
- '<SYSTEM32>\meccmvag.exe'
- '<SYSTEM32>\qvbsgqok.exe'
- '<SYSTEM32>\zaqbnhif.exe'
- '<SYSTEM32>\hghmnzsg.exe'
- '<SYSTEM32>\xrelmcac.exe'
- '<SYSTEM32>\tzvsjrjl.exe'
- '<SYSTEM32>\nvdqxwlx.exe'
- '<SYSTEM32>\eejwolrh.exe'
- '<SYSTEM32>\thnfdsom.exe'
- '<SYSTEM32>\wyyofene.exe'
- '<SYSTEM32>\cbarzstc.exe'
- '<SYSTEM32>\xxrhkqsr.exe'
- '<SYSTEM32>\qpkunpgm.exe'
- '<SYSTEM32>\xhiosskx.exe'
- '<SYSTEM32>\edidmrxb.exe'
- '<SYSTEM32>\ecajving.exe'
- '<SYSTEM32>\oyxvbxfk.exe'
- '<SYSTEM32>\oeatgixh.exe'
- '<SYSTEM32>\dlsoihub.exe'
- '<SYSTEM32>\ofbpqzlm.exe'
- '<SYSTEM32>\tpodfhqs.exe'
- '<SYSTEM32>\yxsbnsph.exe'
- '<SYSTEM32>\feztoshy.exe'
- '<SYSTEM32>\dpkukwqu.exe'
- '<SYSTEM32>\oteptbok.exe'
- '<SYSTEM32>\tunxteuo.exe'
- '<SYSTEM32>\gaxrujgn.exe'
- '<SYSTEM32>\ztfrmtor.exe'
- '<SYSTEM32>\qoxvwwge.exe'
- '<SYSTEM32>\ayrzptye.exe'
- '<SYSTEM32>\wjmemjcq.exe'
- '<SYSTEM32>\lgoshzlx.exe'
- '<SYSTEM32>\pfkvngdn.exe'
- '<SYSTEM32>\dfkkriia.exe'
- '<SYSTEM32>\sjagfrxv.exe'
- '<SYSTEM32>\ckgifpod.exe'
- '<SYSTEM32>\aqoymhem.exe'
- '<SYSTEM32>\zhbceoju.exe'
- '<SYSTEM32>\qmowtxyo.exe'
- '<SYSTEM32>\qagfemzd.exe'
- '<SYSTEM32>\xbgehcti.exe'
- '<SYSTEM32>\ovbahvcu.exe'
- '<SYSTEM32>\zdlqzzio.exe'
- '<SYSTEM32>\anzpeelf.exe'
- '<SYSTEM32>\zfuufmvm.exe'
- '<SYSTEM32>\rvlpjemw.exe'
- '<SYSTEM32>\lafvythk.exe'
- '<SYSTEM32>\haufwovk.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\shlmvqiz.exe
- <SYSTEM32>\kmeilyzu.exe
- <SYSTEM32>\mtorfxcj.exe
- <SYSTEM32>\tkjzwity.exe
- <SYSTEM32>\exhefovl.exe
- <SYSTEM32>\wsbynffc.exe
- <SYSTEM32>\goqdylog.exe
- <SYSTEM32>\bhsfognm.exe
- <SYSTEM32>\vhxufnyw.exe
- <SYSTEM32>\egckveea.exe
- <SYSTEM32>\qmnwkvyz.exe
- <SYSTEM32>\ldzhxqet.exe
- <SYSTEM32>\meccmvag.exe
- <SYSTEM32>\qvbsgqok.exe
- <SYSTEM32>\zaqbnhif.exe
- <SYSTEM32>\hghmnzsg.exe
- <SYSTEM32>\xrelmcac.exe
- <SYSTEM32>\tzvsjrjl.exe
- <SYSTEM32>\nvdqxwlx.exe
- <SYSTEM32>\eejwolrh.exe
- <SYSTEM32>\thnfdsom.exe
- <SYSTEM32>\wyyofene.exe
- <SYSTEM32>\cbarzstc.exe
- <SYSTEM32>\xxrhkqsr.exe
- <SYSTEM32>\qpkunpgm.exe
- <SYSTEM32>\xhiosskx.exe
- <SYSTEM32>\edidmrxb.exe
- <SYSTEM32>\ecajving.exe
- <SYSTEM32>\oyxvbxfk.exe
- <SYSTEM32>\oeatgixh.exe
- <SYSTEM32>\zhbceoju.exe
- <SYSTEM32>\ofbpqzlm.exe
- <SYSTEM32>\tpodfhqs.exe
- <SYSTEM32>\tunxteuo.exe
- <SYSTEM32>\dlsoihub.exe
- <SYSTEM32>\dpkukwqu.exe
- <SYSTEM32>\oteptbok.exe
- <SYSTEM32>\yxsbnsph.exe
- <SYSTEM32>\wjmemjcq.exe
- <SYSTEM32>\ztfrmtor.exe
- <SYSTEM32>\qoxvwwge.exe
- <SYSTEM32>\gaxrujgn.exe
- <SYSTEM32>\lgoshzlx.exe
- <SYSTEM32>\pfkvngdn.exe
- <SYSTEM32>\ayrzptye.exe
- <SYSTEM32>\sjagfrxv.exe
- <SYSTEM32>\ckgifpod.exe
- <SYSTEM32>\xbgehcti.exe
- <SYSTEM32>\dfkkriia.exe
- <SYSTEM32>\qmowtxyo.exe
- <SYSTEM32>\qagfemzd.exe
- <SYSTEM32>\aqoymhem.exe
- <SYSTEM32>\rvlpjemw.exe
- <SYSTEM32>\zdlqzzio.exe
- <SYSTEM32>\anzpeelf.exe
- <SYSTEM32>\feztoshy.exe
- <SYSTEM32>\ovbahvcu.exe
- <SYSTEM32>\lafvythk.exe
- <SYSTEM32>\haufwovk.exe
- <SYSTEM32>\zfuufmvm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\shlmvqiz.exe
- <SYSTEM32>\kmeilyzu.exe
- <SYSTEM32>\mtorfxcj.exe
- <SYSTEM32>\tkjzwity.exe
- <SYSTEM32>\exhefovl.exe
- <SYSTEM32>\wsbynffc.exe
- <SYSTEM32>\goqdylog.exe
- <SYSTEM32>\bhsfognm.exe
- <SYSTEM32>\vhxufnyw.exe
- <SYSTEM32>\egckveea.exe
- <SYSTEM32>\qmnwkvyz.exe
- <SYSTEM32>\ldzhxqet.exe
- <SYSTEM32>\meccmvag.exe
- <SYSTEM32>\qvbsgqok.exe
- <SYSTEM32>\zaqbnhif.exe
- <SYSTEM32>\hghmnzsg.exe
- <SYSTEM32>\xrelmcac.exe
- <SYSTEM32>\tzvsjrjl.exe
- <SYSTEM32>\nvdqxwlx.exe
- <SYSTEM32>\eejwolrh.exe
- <SYSTEM32>\thnfdsom.exe
- <SYSTEM32>\wyyofene.exe
- <SYSTEM32>\cbarzstc.exe
- <SYSTEM32>\xxrhkqsr.exe
- <SYSTEM32>\qpkunpgm.exe
- <SYSTEM32>\xhiosskx.exe
- <SYSTEM32>\edidmrxb.exe
- <SYSTEM32>\ecajving.exe
- <SYSTEM32>\oyxvbxfk.exe
- <SYSTEM32>\oeatgixh.exe
- <SYSTEM32>\dlsoihub.exe
- <SYSTEM32>\ofbpqzlm.exe
- <SYSTEM32>\tpodfhqs.exe
- <SYSTEM32>\yxsbnsph.exe
- <SYSTEM32>\feztoshy.exe
- <SYSTEM32>\dpkukwqu.exe
- <SYSTEM32>\oteptbok.exe
- <SYSTEM32>\tunxteuo.exe
- <SYSTEM32>\gaxrujgn.exe
- <SYSTEM32>\ztfrmtor.exe
- <SYSTEM32>\qoxvwwge.exe
- <SYSTEM32>\ayrzptye.exe
- <SYSTEM32>\wjmemjcq.exe
- <SYSTEM32>\lgoshzlx.exe
- <SYSTEM32>\pfkvngdn.exe
- <SYSTEM32>\dfkkriia.exe
- <SYSTEM32>\sjagfrxv.exe
- <SYSTEM32>\ckgifpod.exe
- <SYSTEM32>\aqoymhem.exe
- <SYSTEM32>\zhbceoju.exe
- <SYSTEM32>\qmowtxyo.exe
- <SYSTEM32>\qagfemzd.exe
- <SYSTEM32>\xbgehcti.exe
- <SYSTEM32>\ovbahvcu.exe
- <SYSTEM32>\zdlqzzio.exe
- <SYSTEM32>\anzpeelf.exe
- <SYSTEM32>\zfuufmvm.exe
- <SYSTEM32>\rvlpjemw.exe
- <SYSTEM32>\lafvythk.exe
- <SYSTEM32>\haufwovk.exe
Удаляет следующие файлы:
- %TEMP%\~DF3B49.tmp
- %TEMP%\~DF66DC.tmp
- %TEMP%\~DFA5F5.tmp
- %TEMP%\~DF45E.tmp
- %TEMP%\~DF7767.tmp
- %TEMP%\~DFA2DC.tmp
- %TEMP%\~DFD9CD.tmp
- %TEMP%\~DFB4C2.tmp
- %TEMP%\~DFD3B6.tmp
- %TEMP%\~DF267B.tmp
- %TEMP%\~DF69B1.tmp
- %TEMP%\~DFD090.tmp
- %TEMP%\~DF741.tmp
- %TEMP%\~DF32CD.tmp
- %TEMP%\~DF383C.tmp
- %TEMP%\~DF4719.tmp
- %TEMP%\~DF7CA3.tmp
- %TEMP%\~DFA869.tmp
- %TEMP%\~DF1AC1.tmp
- %TEMP%\~DF78F3.tmp
- %TEMP%\~DFB054.tmp
- %TEMP%\~DFDBE6.tmp
- %TEMP%\~DFAB8E.tmp
- %TEMP%\~DFD68B.tmp
- %TEMP%\~DFDF1.tmp
- %TEMP%\~DF745C.tmp
- %TEMP%\~DFDFA9.tmp
- %TEMP%\~DFA36.tmp
- %TEMP%\~DF4A0D.tmp
- %TEMP%\~DF3640.tmp
- %TEMP%\~DF4CE5.tmp
- %TEMP%\~DF775E.tmp
- %TEMP%\~DFB655.tmp
- %TEMP%\~DF1575.tmp
- %TEMP%\~DF88D2.tmp
- %TEMP%\~DFB303.tmp
- %TEMP%\~DFEA7B.tmp
- %TEMP%\~DFA4A7.tmp
- %TEMP%\~DF46F1.tmp
- %TEMP%\~DFE5D3.tmp
- %TEMP%\~DF7A26.tmp
- %TEMP%\~DFE0FB.tmp
- %TEMP%\~DF1857.tmp
- %TEMP%\~DF42E7.tmp
- %TEMP%\~DF4925.tmp
- %TEMP%\~DF56F3.tmp
- %TEMP%\~DF8E38.tmp
- %TEMP%\~DFB9D4.tmp
- %TEMP%\~DF2A1F.tmp
- %TEMP%\~DF8B2C.tmp
- %TEMP%\~DFB98D.tmp
- %TEMP%\~DFED83.tmp
- %TEMP%\~DFBC66.tmp
- %TEMP%\~DFE6AB.tmp
- %TEMP%\~DF1E1F.tmp
- %TEMP%\~DF8501.tmp
- %TEMP%\~DFF080.tmp
- %TEMP%\~DF1B35.tmp
- %TEMP%\~DF5AB3.tmp
- %TEMP%\~DF4E3B.tmp
- %TEMP%\~DF793E.tmp
- %TEMP%\~DFE1AD.tmp
- %TEMP%\~DF9D61.tmp
- %TEMP%\~DF3E1B.tmp
- %TEMP%\~DFB7FF.tmp
- %TEMP%\~DF1929.tmp
- %TEMP%\~DFDCD7.tmp
- %TEMP%\~DFC8F7.tmp
- %TEMP%\~DFB7C.tmp
- %TEMP%\~DF32F1.tmp
- %TEMP%\~DF6767.tmp
- %TEMP%\~DF6F4.tmp
- %TEMP%\~DF4282.tmp
- %TEMP%\~DFA2E6.tmp
- %TEMP%\~DF74AF.tmp
- %TEMP%\~DF8944.tmp
- %TEMP%\~DFB60F.tmp
- %TEMP%\~DFE913.tmp
- %TEMP%\~DF60C6.tmp
- %TEMP%\~DFB073.tmp
- %TEMP%\~DF332.tmp
- %TEMP%\~DF2039.tmp
- %TEMP%\~DFEEC4.tmp
- %TEMP%\~DF140A.tmp
- %TEMP%\~DF4F56.tmp
- %TEMP%\~DFB354.tmp
- %TEMP%\~DF246D.tmp
- %TEMP%\~DF8D3B.tmp
- %TEMP%\~DF4AA5.tmp
- %TEMP%\~DF6BD6.tmp
- %TEMP%\~DF53B6.tmp
- %TEMP%\~DF7EC8.tmp
- %TEMP%\~DFBDC2.tmp
- %TEMP%\~DF1CB3.tmp
- %TEMP%\~DF90B2.tmp
- %TEMP%\~DFBA8E.tmp
- %TEMP%\~DFF2C3.tmp
- %TEMP%\~DFAD96.tmp
- %TEMP%\~DFEC62.tmp
- %TEMP%\~DF1667.tmp
- %TEMP%\~DF8224.tmp
- %TEMP%\~DFE970.tmp
- %TEMP%\~DF20A0.tmp
- %TEMP%\~DF4B42.tmp
- %TEMP%\~DF5115.tmp
- %TEMP%\~DF5F37.tmp
- %TEMP%\~DF9A37.tmp
- %TEMP%\~DFC0C0.tmp
- %TEMP%\~DFF356.tmp
- %TEMP%\~DF9222.tmp
- %TEMP%\~DFCD6D.tmp
- %TEMP%\~DF375C.tmp
- %TEMP%\~DFC415.tmp
- %TEMP%\~DFEECC.tmp
- %TEMP%\~DF263C.tmp
- %TEMP%\~DF8CE3.tmp
- %TEMP%\~DFF902.tmp
- %TEMP%\~DF232A.tmp
- %TEMP%\~DF627D.tmp
Сетевая активность:
Подключается к:
- 'localhost':1119
- 'localhost':1117
- 'localhost':1115
- 'localhost':1121
- 'localhost':1127
- 'localhost':1125
- 'localhost':1123
- 'localhost':1113
- 'localhost':1103
- 'localhost':1101
- 'localhost':1099
- 'localhost':1105
- 'localhost':1111
- 'localhost':1109
- 'localhost':1107
- 'localhost':1149
- 'localhost':1147
- 'localhost':1145
- 'localhost':1151
- 'localhost':1157
- 'localhost':1155
- 'localhost':1153
- 'localhost':1143
- 'localhost':1133
- 'localhost':1131
- 'localhost':1129
- 'localhost':1135
- 'localhost':1141
- 'localhost':1139
- 'localhost':1137
- 'localhost':1097
- 'localhost':1057
- 'localhost':1055
- 'localhost':1053
- 'localhost':1059
- 'localhost':1065
- 'localhost':1063
- 'localhost':1061
- 'localhost':1051
- 'localhost':1041
- 'localhost':1038
- 'bl##.naver.com':80
- 'localhost':1043
- 'localhost':1049
- 'localhost':1047
- 'localhost':1045
- 'localhost':1087
- 'localhost':1085
- 'localhost':1083
- 'localhost':1089
- 'localhost':1095
- 'localhost':1093
- 'localhost':1091
- 'localhost':1081
- 'localhost':1071
- 'localhost':1069
- 'localhost':1067
- 'localhost':1073
- 'localhost':1079
- 'localhost':1077
- 'localhost':1075
TCP:
Запросы HTTP GET:
- bl##.naver.com/PostView.nhn?bl################################################################################################################################################################################################
UDP:
- DNS ASK bl##.naver.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
