Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Xizai' = '"%APPDATA%\Ywev\xizai.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Ywev\xizai.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WOUEA2F.bat
- <LS_APPDATA>\jyhez.sia
- %APPDATA%\Ywev\xizai.exe
Самоудаляется.
Сетевая активность:
UDP:
- '95.##6.170.150':1787
- '10#.#4.172.39':3059
- '21#.#32.249.173':2848
- '66.##.204.26':24382
- '10#.#34.133.110':8387
- '94.##.237.192':27882
- '19#.#02.83.105':16419
- '5.##.67.209':2862
- '2.##.50.124':24606
- '2.###.133.66':6474
- '68.##.22.135':5703
- '10#.#93.222.108':3981
- '76.##6.114.217':1684
- '20#.#1.192.36':4672
- '64.##6.115.72':10010
- '10#.#17.117.139':8593
- '87.#.127.67':26943
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
