Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp
- %TEMP%\2.tmp
- %TEMP%\3.tmp
- <Текущая директория>\LOLHTDM.dll
- <SYSTEM32>\LOLHTDM.dll
- <Текущая директория>\Config.cfg
- <Текущая директория>\D3DX9_43.dll
- <Текущая директория>\7-zip32.dll
- <Текущая директория>\zlibwapi.dll
- <Текущая директория>\LOLHantu.dll
Удаляет следующие файлы:
- %TEMP%\1.tmp
- %TEMP%\2.tmp
- %TEMP%\3.tmp
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
- 'lo####tu.wodemo.com':80
TCP:
Запросы HTTP GET:
- http://hi.##idu.com/tmpurl/blog/item/5e0d47a999e315074a36d67c.html via 12#.#25.114.144
- http://lo####tu.wodemo.com/entry/341104
UDP:
- DNS ASK hi.##idu.com
- DNS ASK lo####tu.wodemo.com
Другое:
Ищет следующие окна:
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' -s <Текущая директория>\LOLHTDM.dll
- '<SYSTEM32>\cmd.exe' /c regsvr32 /s <SYSTEM32>\\LOLHTDM.dll
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\\LOLHTDM.dll
