Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Agent TP Security Profile SPP Parental] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\cgvcvgiw\mbwgioba.exe' "c:\cgvcvgiw\usfddqhlx.exe"
- 'C:\cgvcvgiw\usfddqhlx.exe'
- 'C:\cgvcvgiw\gtx8bawklwzgonmj14.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\cgvcvgiw\usfddqhlx.exe
- C:\cgvcvgiw\mbwgioba.exe
- C:\cgvcvgiw\h2oqdnur4ud5
- %WINDIR%\cgvcvgiw\bwz2xku
- C:\cgvcvgiw\bwz2xku
- C:\cgvcvgiw\gtx8bawklwzgonmj14.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\cgvcvgiw\mbwgioba.exe
- C:\cgvcvgiw\usfddqhlx.exe
Удаляет следующие файлы:
- C:\cgvcvgiw\gtx8bawklwzgonmj14.exe
- %WINDIR%\cgvcvgiw\bwz2xku
Сетевая активность:
UDP:
- DNS ASK ra####future.net
- DNS ASK mo####gsafety.net
- DNS ASK mo####gfuture.net
- DNS ASK hi####ysmell.net
- DNS ASK st####esmell.net
- DNS ASK ra####safety.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ra###rsmell.net
- DNS ASK mo####gsmell.net
- DNS ASK mo####gearly.net
- DNS ASK ra###rearly.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
