Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' ext "<Полный путь к вирусу>"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\tor\hidden_service\hostname.tmp
- %TEMP%\OpenCL.dll
- %APPDATA%\Roaming\tor\state.tmp
- %APPDATA%\Roaming\tor\hidden_service\private_key.tmp
Перемещает следующие файлы:
- %APPDATA%\Roaming\tor\hidden_service\hostname.tmp в %APPDATA%\Roaming\tor\hidden_service\hostname
- %APPDATA%\Roaming\tor\hidden_service\private_key.tmp в %APPDATA%\Roaming\tor\hidden_service\private_key
- %APPDATA%\Roaming\tor\state.tmp в %APPDATA%\Roaming\tor\state
Сетевая активность:
Подключается к:
- '19#.#3.244.244':443
- 'localhost':9050
- 'localhost':49166
- '15#.35.32.5':443
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK ch####p.dyndns.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
