Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'HNG' = '"<Полный путь к файлу>"'
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\GarenaCIG] 'ImagePath' = '"%ALLUSERSPROFILE%\Application Data\GarenaCIG\GarenaCIG.exe" --service'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\application data\garenacig\garenacig.zip
- %ALLUSERSPROFILE%\application data\garenacig\garenacig.exe
- <Текущая директория>\encryption.dll
Изменяет файл HOSTS.
Сетевая активность
TCP
Запросы HTTP GET
- http://do####ad.gcafex.com/update.html
- http://cd#.#cafex.com/GarenaCIG.zip
- http://cd#.#cafex.com/Encryption_xp_x86.dll
UDP
- DNS ASK do####ad.gcafex.com
- DNS ASK au##.gcafex.com
- DNS ASK cd#.#cafex.com
Другое
Запускает на исполнение
- '<SYSTEM32>\sc.exe' create GarenaCIG DisplayName= "GCafe Service" binPath= "\"%ALLUSERSPROFILE%\Application Data\GarenaCIG\GarenaCIG.exe\" --service"
