Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Tablet Engine HomeGroup Procedure PNRP Registrar] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\zfihccanggsls\dvpuavnknhoq.exe' "c:\zfihccanggsls\dgeelcrkj.exe"
- 'C:\zfihccanggsls\dgeelcrkj.exe'
- 'C:\zfihccanggsls\af8tchhtv45qaz7.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\zfihccanggsls\dgeelcrkj.exe
- C:\zfihccanggsls\dvpuavnknhoq.exe
- C:\zfihccanggsls\oofxlsjq
- %WINDIR%\zfihccanggsls\ompvzi
- C:\zfihccanggsls\ompvzi
- C:\zfihccanggsls\af8tchhtv45qaz7.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\zfihccanggsls\dvpuavnknhoq.exe
- C:\zfihccanggsls\dgeelcrkj.exe
Удаляет следующие файлы:
- C:\zfihccanggsls\af8tchhtv45qaz7.exe
- %WINDIR%\zfihccanggsls\ompvzi
Сетевая активность:
UDP:
- DNS ASK re####eopinion.net
- DNS ASK or####pinion.net
- DNS ASK or####romise.net
- DNS ASK le####should.net
- DNS ASK re####epromise.net
- DNS ASK re####eshort.net
- DNS ASK or###should.net
- DNS ASK ne#####rypromise.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK or###short.net
- DNS ASK re####eshould.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
