Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Tablet Sharing Netlogon Detection] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\kcmrmgoljh\izeawdhxp.exe' "c:\kcmrmgoljh\csgdutnipkka.exe"
- 'C:\kcmrmgoljh\csgdutnipkka.exe'
- 'C:\kcmrmgoljh\omemf3u59vfkcnm0js.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\kcmrmgoljh\csgdutnipkka.exe
- C:\kcmrmgoljh\izeawdhxp.exe
- C:\kcmrmgoljh\grvvrafqsvyg
- %WINDIR%\kcmrmgoljh\wcoeczrs5k
- C:\kcmrmgoljh\wcoeczrs5k
- C:\kcmrmgoljh\omemf3u59vfkcnm0js.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\kcmrmgoljh\izeawdhxp.exe
- C:\kcmrmgoljh\csgdutnipkka.exe
Удаляет следующие файлы:
- C:\kcmrmgoljh\omemf3u59vfkcnm0js.exe
- %WINDIR%\kcmrmgoljh\wcoeczrs5k
Сетевая активность:
UDP:
- DNS ASK ch####uestion.net
- DNS ASK th###while.net
- DNS ASK th####uestion.net
- DNS ASK th####herefore.net
- DNS ASK ch####herefore.net
- DNS ASK ch###school.net
- DNS ASK be####therefore.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ch###while.net
- DNS ASK th###school.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
