Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\CA80VSq6F] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\XSpeed] 'ImagePath' = '<Текущая директория>\XSpeedWinXPx86.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\CA80VSq6F] 'ImagePath' = '%WINDIR%\CA80VSq6F.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\87BCVsWvG] 'ImagePath' = '<SYSTEM32>\87BCVsWvG.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\CA80VSq6F] 'ImagePath' = '<SYSTEM32>\CA80VSq6F.sys'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\CA80VSq6F.sys
- <Текущая директория>\XSpeedWinXPx86.sys
- %WINDIR%\kdpay.dll
- <SYSTEM32>\87BCVsWvG.sys
- <SYSTEM32>\87BCVsWvG.systmp
- <SYSTEM32>\CA80VSq6F.sys
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\XSpeedWinXPx86.sys
Удаляет следующие файлы:
- <Текущая директория>\XSpeedWinXPx86.sys
- <SYSTEM32>\87BCVsWvG.sys
Подменяет следующие файлы:
- <SYSTEM32>\87BCVsWvG.sys
Сетевая активность:
Подключается к:
- 'yu####.yuzhoupk.com':80
- 'my.##years.com':80
- 'si###loud.net':80
- 'yu#######nsuqi.b0.upaiyun.com':80
- 'localhost':1040
- 'tj.##zokan.com':8080
TCP:
Запросы HTTP GET:
- http://my.##years.com/updata.php?t=#######
- http://my.##years.com/listh.rar
- http://my.##years.com/updatat.rar
- http://my.##years.com/updatad.rar
- http://yu####.yuzhoupk.com/
- http://yu#######nsuqi.b0.upaiyun.com/yuzhou.txt
- http://si###loud.net/yun2016/hotst.txt
- http://my.##years.com/listj.rar
UDP:
- DNS ASK tj.##zokan.com
- DNS ASK yu####.yuzhoupk.com
- DNS ASK si###loud.net
- DNS ASK yu#######nsuqi.b0.upaiyun.com
- DNS ASK my.##years.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
