Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Auto-Discovery Name Extender Collector iSCSI' = 'C:\lxphxvi\pcbbimzmp.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\PC Engine Machine Plug Registry] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\lxphxvi\htazgmnrwfdq.exe' "c:\lxphxvi\pcbbimzmp.exe"
- 'C:\lxphxvi\pcbbimzmp.exe'
- 'C:\lxphxvi\oeofn5hi8ljeovfzxich.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\lxphxvi\pcbbimzmp.exe
- C:\lxphxvi\htazgmnrwfdq.exe
- C:\lxphxvi\iort5hp
- %WINDIR%\lxphxvi\ajpswavn
- C:\lxphxvi\ajpswavn
- C:\lxphxvi\oeofn5hi8ljeovfzxich.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\lxphxvi\htazgmnrwfdq.exe
- C:\lxphxvi\pcbbimzmp.exe
Удаляет следующие файлы:
- C:\lxphxvi\oeofn5hi8ljeovfzxich.exe
- %WINDIR%\lxphxvi\ajpswavn
Сетевая активность:
Подключается к:
- 'fo####father.net':80
TCP:
Запросы HTTP GET:
- http://fo####father.net/index.php?me########
UDP:
- DNS ASK fo###tapple.net
- DNS ASK in####seapple.net
- DNS ASK fo####father.net
- DNS ASK in####sefather.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
