Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'DeviceParinWizard' = '%TEMP%\DellDrve\DeviceParinWizard.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\DellDrve\DeviceParinWizard.exe
- <Текущая директория>\AutoRunApp.vbs
- %TEMP%\DellDrve\help_32_64.exe
- %TEMP%\DellDrve\1.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\AutoRunApp.vbs
Сетевая активность:
Подключается к:
- 'xm#.#2pool.com':13531
- 'us###.qzone.qq.com':80
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- http://us###.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?ui#############
- http://www.ba##u.com/ via 12#.#25.114.144
UDP:
- DNS ASK xm#.#2pool.com
- DNS ASK us###.qzone.qq.com
- DNS ASK www.ba##u.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\AutoRunApp.vbs"
- '%TEMP%\DellDrve\help_32_64.exe' --donate-level 1 --no-huge-pages --safe --cpu-priority 5 --max-cpu-usage 75 -v 0 -o xmr.f2pool.com:13531 -u 48gM3TSMCeufGf14Ug6XdRN1r8YAg8rh7TFBkh5iz3uSJujperZnPjpVQMNjMydFjaYEqpsc8Dd9T7w9Lfi6b...
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\DellDrve\help_32_64.exe --donate-level 1 --no-huge-pages --safe --cpu-priority 5 --max-cpu-usage 75 -v 0 -o xmr.f2pool.com:13531 -u 48gM3TSMCeufGf14Ug6XdRN1r8YAg8rh7TFBkh5iz3uSJujperZ...
