Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe %WINDIR%\system\notepad.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\PS\HKDll.dl_
- %WINDIR%\PS\HKx64Dll.dll
- %WINDIR%\PS\PSTrayFactory.exe.manifest
- %WINDIR%\PS\PSTray.cnt
- %WINDIR%\PS\svchost.exe
- %WINDIR%\PS\pstf_x64_stub.exe
- %TEMP%\dmzqdyz
- %WINDIR%\system\log.txt
- %TEMP%\aut2.tmp
- %WINDIR%\PS\ps32.reg
- %WINDIR%\system\notepad.exe
- %WINDIR%\PS\ps64.reg
- %WINDIR%\upconfig.exe
- %WINDIR%\up.exe
- %WINDIR%\Rar.exe
- %WINDIR%\UPVER.INI
- %WINDIR%\webrun.exe
- %TEMP%\aut1.tmp
- %WINDIR%\PS\English.lng
- %WINDIR%\PS\HKDll.dll
- %WINDIR%\PS\chinese.lng
- %TEMP%\eedyjiy
- %WINDIR%\explore.exe
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\dmzqdyz
- %WINDIR%\upconfig.exe
- %TEMP%\aut1.tmp
- %TEMP%\eedyjiy
- %WINDIR%\system\notepad.exe
Подменяет следующие файлы:
- %WINDIR%\system\notepad.exe
Сетевая активность:
Подключается к:
- 'gu####.f3322.net':8081
- '18#.#.139.30':8081
UDP:
- DNS ASK qq.com
- DNS ASK gu####.f3322.net
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение:
- '%WINDIR%\webrun.exe'
- '%WINDIR%\up.exe'
