Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Machine Resource Layer Receiver] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\nlcrntjadojmd\frkrwgik.exe' "c:\nlcrntjadojmd\hftswao.exe"
- 'C:\nlcrntjadojmd\hftswao.exe'
- 'C:\nlcrntjadojmd\r4ylo8t9fpqzicugjubh.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\nlcrntjadojmd\hftswao.exe
- C:\nlcrntjadojmd\frkrwgik.exe
- C:\nlcrntjadojmd\gtbfmrzdvnrv
- %WINDIR%\nlcrntjadojmd\hvb0dtvrror
- C:\nlcrntjadojmd\hvb0dtvrror
- C:\nlcrntjadojmd\r4ylo8t9fpqzicugjubh.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\nlcrntjadojmd\frkrwgik.exe
- C:\nlcrntjadojmd\hftswao.exe
Удаляет следующие файлы:
- C:\nlcrntjadojmd\r4ylo8t9fpqzicugjubh.exe
- %WINDIR%\nlcrntjadojmd\hvb0dtvrror
Сетевая активность:
UDP:
- DNS ASK ni###before.net
- DNS ASK de####device.net
- DNS ASK de####before.net
- DNS ASK ca####nsettle.net
- DNS ASK la###settle.net
- DNS ASK ni####anguage.net
- DNS ASK de####settle.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ni###device.net
- DNS ASK de####language.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
