Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Connect Themes Client Health] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\bbcdsjdd\rrmhxyd.exe' "c:\bbcdsjdd\yfyyycwfmbxf.exe"
- 'C:\bbcdsjdd\yfyyycwfmbxf.exe'
- 'C:\bbcdsjdd\chcvffzsvnawctkkwmq.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\bbcdsjdd\yfyyycwfmbxf.exe
- C:\bbcdsjdd\rrmhxyd.exe
- C:\bbcdsjdd\kqbfvy
- %WINDIR%\bbcdsjdd\asbk2rjz
- C:\bbcdsjdd\asbk2rjz
- C:\bbcdsjdd\chcvffzsvnawctkkwmq.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\bbcdsjdd\rrmhxyd.exe
- C:\bbcdsjdd\yfyyycwfmbxf.exe
Удаляет следующие файлы:
- C:\bbcdsjdd\chcvffzsvnawctkkwmq.exe
- %WINDIR%\bbcdsjdd\asbk2rjz
Сетевая активность:
UDP:
- DNS ASK fo####dproduce.net
- DNS ASK de####produce.net
- DNS ASK de####student.net
- DNS ASK an####succeed.net
- DNS ASK fo####dstudent.net
- DNS ASK fo####dbetween.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK re###nshare.net
- DNS ASK de####succeed.net
- DNS ASK de####between.net
- DNS ASK fo####dsucceed.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
