Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Hardware Interactive Procedure] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ouyvlgksi\rtwwvla.exe' "c:\ouyvlgksi\stftwuem.exe"
- 'C:\ouyvlgksi\stftwuem.exe'
- 'C:\ouyvlgksi\e2m9g3wiyoevowgn.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\ouyvlgksi\stftwuem.exe
- C:\ouyvlgksi\rtwwvla.exe
- C:\ouyvlgksi\epladt
- %WINDIR%\ouyvlgksi\xwlqu908
- C:\ouyvlgksi\xwlqu908
- C:\ouyvlgksi\e2m9g3wiyoevowgn.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ouyvlgksi\rtwwvla.exe
- C:\ouyvlgksi\stftwuem.exe
Удаляет следующие файлы:
- C:\ouyvlgksi\e2m9g3wiyoevowgn.exe
- %WINDIR%\ouyvlgksi\xwlqu908
Сетевая активность:
UDP:
- DNS ASK ch####easure.net
- DNS ASK be####circle.net
- DNS ASK th####easure.net
- DNS ASK th###dinner.net
- DNS ASK ch###dinner.net
- DNS ASK ri####circle.net
- DNS ASK be####dinner.net
- DNS ASK ri####dinner.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK be####afraid.net
- DNS ASK ri####afraid.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
