Техническая информация
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\OmaSeo\BNkmDos.dll
- %WINDIR%\DUpwCAVx.dll
- %ProgramFiles%\CAJdHrAe\EFAwTBIe.dll
- %ProgramFiles%\CAJdHrAe\SFaEkDUs.dll
- %TEMP%\HZ~1.tmp.bat
- %WINDIR%\nvswhql.exe
- %APPDATA%\MlDByoeU\vswhql.exe
- %WINDIR%\gDiOKDNn.dll
Удаляет следующие файлы:
- %ProgramFiles%\CAJdHrAe\SFaEkDUs.dll
- <Полный путь к файлу>
- %WINDIR%\OmaSeo\BNkmDos.dll
- %WINDIR%\gDiOKDNn.dll
- %WINDIR%\DUpwCAVx.dll
Подменяет следующие файлы:
- %WINDIR%\OmaSeo\BNkmDos.dll
Сетевая активность:
Подключается к:
- 'us###.qzone.qq.com':80
- 'gc.#b51.com':80
- 'dl#.#xwan.com':80
- 'r.###gyou.com':80
- 'ud#.#xwan.com':80
- 'cf#.##pinwan.com':80
- 'bk.##7wan.com':80
TCP:
Запросы HTTP GET:
- http://r.###gyou.com/fcg-bin/cgi_get_portrait.fcg?ui############
- http://us###.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?ui############
- http://gc.#b51.com/index/getcfg?id######
- http://ud#.#xwan.com/index/getcfg?id######
- http://cf#.##pinwan.com/index/getcfg?id######
- http://bk.##7wan.com/index/getcfg?id######
UDP:
- DNS ASK us###.qzone.qq.com
- DNS ASK gc.#b51.com
- DNS ASK dl#.#xwan.com
- DNS ASK r.###gyou.com
- DNS ASK ud#.#xwan.com
- DNS ASK cf#.##pinwan.com
- DNS ASK bk.##7wan.com
- '25#.#55.255.255':6880
Другое:
Создает и запускает на исполнение:
- '%APPDATA%\MlDByoeU\vswhql.exe'
- '%WINDIR%\nvswhql.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\HZ~1.tmp.bat"
