Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'gmrghoeltw' = '"%APPDATA%\gmrghoeltw.exe"'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\gmrghoeltw.vbs
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe' "%APPDATA%\gmrghoeltw.exe" CkvJcFLFlG DWzfVKBHdF
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
Сетевая активность:
Подключается к:
- 'gd#######sgbanbknakfgarkang.com':80
- 'nj#######lifhauierhfabva.com':80
- 'kh#######hkjfhafljhajkfhv.com':80
- 'wp#d':80
- 'my####rnalip.com':80
TCP:
Запросы HTTP GET:
- http://my####rnalip.com/raw
- http://11#.#11.111.1/wpad.dat via wp#d
Запросы HTTP POST:
- http://nj#######lifhauierhfabva.com/gate.php
- http://gd#######sgbanbknakfgarkang.com/gate.php
- http://kh#######hkjfhafljhajkfhv.com/gate.php
UDP:
- DNS ASK gd#######sgbanbknakfgarkang.com
- DNS ASK nj#######lifhauierhfabva.com
- DNS ASK kh#######hkjfhafljhajkfhv.com
- DNS ASK wp#d
- DNS ASK my####rnalip.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
