Техническая информация
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Protect\CREDHIST
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- C:\dm
- %TEMP%\hapi.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\dm
- %TEMP%\hapi.dll
Перемещает следующие файлы:
- <Полный путь к файлу> в %TEMP%\[b1d21a6a8cc4f75e7cab1aefed7607f3]
Подменяет следующие файлы:
- <Полный путь к файлу>
Сетевая активность:
Подключается к:
- '42.#1.43.55':80
- 'xu#.##login2.qq.com':443
- 'lo######t.ptlogin2.qq.com':4300
- 'lo######t.ptlogin2.qq.com':4301
- 'lo######t.ptlogin2.qq.com':4302
- 'lo######t.ptlogin2.qq.com':4303
- 'lo######t.ptlogin2.qq.com':4304
- 'lo######t.ptlogin2.qq.com':4305
- 'lo######t.ptlogin2.qq.com':4306
- 'lo######t.ptlogin2.qq.com':4307
- 'lo######t.ptlogin2.qq.com':4308
- 'lo######t.ptlogin2.qq.com':4309
TCP:
Запросы HTTP GET:
- http://42.#1.43.55/api/api
UDP:
- DNS ASK xu#.##login2.qq.com
- DNS ASK lo######t.ptlogin2.qq.com
Другое:
Ищет следующие окна:
- ClassName: '5B3838F5-0C81-46D9-A4C0-6EA28CA3E942' WindowName: ''
