Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\8509WphdV] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\XSpeed] 'ImagePath' = '<Текущая директория>\XSpeedWinXPx86.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\8509WphdV] 'ImagePath' = '%WINDIR%\8509WphdV.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\89ADQgdK2] 'ImagePath' = '<SYSTEM32>\89ADQgdK2.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\8509WphdV] 'ImagePath' = '<SYSTEM32>\8509WphdV.sys'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\8509WphdV.sys
- <Текущая директория>\XSpeedWinXPx86.sys
- %WINDIR%\kdpay.dll
- <SYSTEM32>\89ADQgdK2.sys
- <SYSTEM32>\89ADQgdK2.systmp
- <SYSTEM32>\8509WphdV.sys
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\XSpeedWinXPx86.sys
Удаляет следующие файлы:
- <Текущая директория>\XSpeedWinXPx86.sys
- <SYSTEM32>\89ADQgdK2.sys
Подменяет следующие файлы:
- <SYSTEM32>\89ADQgdK2.sys
Сетевая активность:
Подключается к:
- 'localhost':1041
- 'yu#######nsuqi.b0.upaiyun.com':80
TCP:
Запросы HTTP GET:
- http://yu#######nsuqi.b0.upaiyun.com/yuzhou.txt
UDP:
- DNS ASK yu####.yuzhoupk.com
- DNS ASK tj.##zokan.com
- DNS ASK bl##.#ina.com.cn
- DNS ASK t.##.com
- DNS ASK my.##years.com
- DNS ASK yu#######nsuqi.b0.upaiyun.com
- DNS ASK wa#####219.blog.163.com
- DNS ASK si###loud.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
