Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\SecurityProviders] 'SecurityProviders' = 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, AyyomhucCuml.dll'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "<SYSTEM32>\AyyomhucCuml.dll",EntryPoint
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\AyyomhucCuml.dll
Сетевая активность:
Подключается к:
- 'ma##.gmail.com':25
- 'go####baby12.com':1001
- '67.##5.160.76':25
- 'ma##.#otmail.com':25
UDP:
- DNS ASK HO##aIl.cOM
- DNS ASK GM##l.cOM
- DNS ASK YA##O.Com
- DNS ASK go####baby12.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
