Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'TTP Ad Ctrl' = '{04B21D11-8112-4C32-880C-0531DC50C7FC}'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\DXC_Qmm.exe'
- '%TEMP%\DXC_Count.exe'
- '%TEMP%\DXC_LF.exe'
- '%TEMP%\DXC_Cw11.exe'
Запускает на исполнение:
- '<SYSTEM32>\calc.exe'
- '%WINDIR%\regedit.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\calc.exe
- %WINDIR%\Explorer.EXE
- %WINDIR%\regedit.exe
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\LocalToolList.dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\LocalToolList[1].dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\LocalToolList[1].dat
- %PROGRAM_FILES%\TTPlayer\TTPAdvCtrl.dll
- %TEMP%\DXC_Cw11.exe
- %TEMP%\DXC_LF.exe
- %TEMP%\DXC_Count.exe
- %TEMP%\DXC_Qmm.exe
Удаляет следующие файлы:
- %ALLUSERSPROFILE%\Application Data\LocalToolList.dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\LocalToolList[1].dat
- %PROGRAM_FILES%\TTPlayer\TTPAdvCtrl.dll
- %TEMP%\DXC_Qmm.exe
Сетевая активность:
Подключается к:
- '60.##0.216.135':2200
- 'to##.duowan.com':80
- 'dn#.#zctt.com':801
- 'localhost':1038
- 'localhost':1035
- 'localhost':1036
- 'localhost':1037
TCP:
Запросы HTTP GET:
- to##.duowan.com/box/BoxConfig/LocalToolList.dat
UDP:
- DNS ASK b2#######9ccd518.d3plus.info
- DNS ASK dn#.#zctt.com
- DNS ASK to##.duowan.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
