Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\ddodiag.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fd91.tmp\run.bat
- %TEMP%\fd91.tmp\lol.exe
- %TEMP%\fd91.tmp\fuzhu.exe
- %TEMP%\fd91.tmp\config.ini
- nul
- %TEMP%\fd91.tmp\libcurl.dll
- %TEMP%\fd91.tmp\launch.log
Удаляет следующие файлы
- %TEMP%\fd91.tmp\fuzhu.exe
- %TEMP%\fd91.tmp\lol.exe
- %TEMP%\fd91.tmp\run.bat
Сетевая активность
UDP
- DNS ASK hm.##idu.com
- DNS ASK ap#.#illp.cn
- DNS ASK xe####.wangkaguanli.com
- '255.255.255.255':3779
Другое
Создает и запускает на исполнение
- '%TEMP%\fd91.tmp\fuzhu.exe'
- '%TEMP%\fd91.tmp\lol.exe'
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FD91.tmp\Run.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del /q %TEMP%\FD91.tmp\Fuzhu.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\FD91.tmp\Run.bat" "
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 5
- '%WINDIR%\syswow64\ddodiag.exe'
- '%WINDIR%\syswow64\cmd.exe' /c del /q %TEMP%\FD91.tmp\Fuzhu.exe
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 2 "%WINDIR%\syswow64\ddodiag.exe"
