Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Ordering Protected Support Enumerator Name] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\vwbugwd\psidsdcfgiua.exe' "c:\vwbugwd\igxlowevyzs.exe"
- 'C:\vwbugwd\igxlowevyzs.exe'
- 'C:\vwbugwd\uj9g4cfmc2qo9neen.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\vwbugwd\igxlowevyzs.exe
- C:\vwbugwd\psidsdcfgiua.exe
- C:\vwbugwd\fan0hypfh
- %WINDIR%\vwbugwd\t9fnzh
- C:\vwbugwd\t9fnzh
- C:\vwbugwd\uj9g4cfmc2qo9neen.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\vwbugwd\psidsdcfgiua.exe
- C:\vwbugwd\igxlowevyzs.exe
Удаляет следующие файлы:
- C:\vwbugwd\uj9g4cfmc2qo9neen.exe
- %WINDIR%\vwbugwd\t9fnzh
Сетевая активность:
UDP:
- DNS ASK ge###eshort.net
- DNS ASK he###short.net
- DNS ASK he####pinion.net
- DNS ASK he####romise.net
- DNS ASK ge####opinion.net
- DNS ASK he####promise.net
- DNS ASK le####promise.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ge####should.net
- DNS ASK he###should.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
