Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Compatibility Encryption Transfer Shell Removal' = '%APPDATA%\Roaming\wsnoyuokmrxt\nghbexd.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\wsnoyuokmrxt\vqyoqqbrixen.exe' "%APPDATA%\Roaming\wsnoyuokmrxt\nghbexd.exe"
- '%APPDATA%\Roaming\wsnoyuokmrxt\nghbexd.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\wsnoyuokmrxt\nghbexd.qj
- %APPDATA%\Roaming\wsnoyuokmrxt\vqyoqqbrixen.exe
- %APPDATA%\Roaming\wsnoyuokmrxt\nghbexd.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Roaming\wsnoyuokmrxt\nghbexd.exe
Сетевая активность:
UDP:
- DNS ASK se####lspecial.net
- DNS ASK ma####alminute.net
- DNS ASK ma####alspecial.net
- DNS ASK ma####alcorner.net
- DNS ASK se####lcorner.net
- DNS ASK se####lminute.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK sw###corner.net
- DNS ASK pr####lycorner.net
- DNS ASK ma####alflower.net
- DNS ASK se####lflower.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
