Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cacls.exe' <DRIVERS>\etc\hosts /e /c /p %USERNAME%:n
- '<SYSTEM32>\cacls.exe' <DRIVERS>\etc\hosts /e /c /p %USERNAME%:f
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\E_UIEngine\90afea1eeb37be7a93471c36152ab43a\90afea1eeb37be7a93471c36152ab43a.jpg.data
- %APPDATA%\E_UIEngine\90afea1eeb37be7a93471c36152ab43a\90afea1eeb37be7a93471c36152ab43a.jpg
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'www.sa####gbinggui.cn':80
- 'www.cf##gu.com':80
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- http://www.sa####gbinggui.cn/���1.htm
- http://www.cf##gu.com/���1.htm
- http://www.ba##u.com/ via 12#.#25.114.144
UDP:
- DNS ASK www.sa####gbinggui.cn
- DNS ASK www.cf##gu.com
- DNS ASK www.ba##u.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '18467-41' WindowName: ''
