Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Connect Shadow Support Multimedia Procedure] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\tmnjmmlxkkw\xanuujnogpmn.exe' "c:\tmnjmmlxkkw\yyzmqowvy.exe"
- 'C:\tmnjmmlxkkw\yyzmqowvy.exe'
- 'C:\tmnjmmlxkkw\ebrwt9h1pqxbkbztwxq9g.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\tmnjmmlxkkw\yyzmqowvy.exe
- C:\tmnjmmlxkkw\xanuujnogpmn.exe
- C:\tmnjmmlxkkw\xftcm1oosj
- %WINDIR%\tmnjmmlxkkw\suiveyv9aj
- C:\tmnjmmlxkkw\suiveyv9aj
- C:\tmnjmmlxkkw\ebrwt9h1pqxbkbztwxq9g.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\tmnjmmlxkkw\xanuujnogpmn.exe
- C:\tmnjmmlxkkw\yyzmqowvy.exe
Удаляет следующие файлы:
- C:\tmnjmmlxkkw\ebrwt9h1pqxbkbztwxq9g.exe
- %WINDIR%\tmnjmmlxkkw\suiveyv9aj
Сетевая активность:
UDP:
- DNS ASK tr###inside.net
- DNS ASK st####inside.net
- DNS ASK be####instead.net
- DNS ASK be####explain.net
- DNS ASK ga####instead.net
- DNS ASK tr###bright.net
- DNS ASK st####explain.net
- DNS ASK tr####nstead.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK st####bright.net
- DNS ASK tr####xplain.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
