Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Auto-Discovery File Defragmenter Process] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\jcoreteecjgek\wxnlkjfajxz.exe' "c:\jcoreteecjgek\ecbbzsqjr.exe"
- 'C:\jcoreteecjgek\ecbbzsqjr.exe'
- 'C:\jcoreteecjgek\nrv7zxtwahbsm0jvclg.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\jcoreteecjgek\ecbbzsqjr.exe
- C:\jcoreteecjgek\wxnlkjfajxz.exe
- C:\jcoreteecjgek\lkur2ohhvi6g
- %WINDIR%\jcoreteecjgek\pkvkk2aq
- C:\jcoreteecjgek\pkvkk2aq
- C:\jcoreteecjgek\nrv7zxtwahbsm0jvclg.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\jcoreteecjgek\wxnlkjfajxz.exe
- C:\jcoreteecjgek\ecbbzsqjr.exe
Удаляет следующие файлы:
- C:\jcoreteecjgek\nrv7zxtwahbsm0jvclg.exe
- %WINDIR%\jcoreteecjgek\pkvkk2aq
Сетевая активность:
UDP:
- DNS ASK ri###nstorm.net
- DNS ASK be####training.net
- DNS ASK be###gstorm.net
- DNS ASK be####thrown.net
- DNS ASK ri####thrown.net
- DNS ASK ri####training.net
- DNS ASK li####thrown.net
- DNS ASK de####ythrown.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK be####hunger.net
- DNS ASK ri####hunger.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
