Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\abc2.0] 'ImagePath' = '%TEMP%\~abcjeQ9y.sys'
- [<HKLM>\System\CurrentControlSet\Services\abc2.0] 'ImagePath' = '%TEMP%\~abcxr2S5.sys'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~abcjeQ9y.sys
- %TEMP%\10vnxtl16p8.exe
- %TEMP%\~abcxr2S5.sys
- %APPDATA%\microsoft\internet explorer\userdata\index.dat
- %APPDATA%\microsoft\internet explorer\userdata\gpbnyoeo\userdatabidupsid[1].xml
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012019110320191104\index.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~abcjeQ9y.sys
- %TEMP%\~abcxr2S5.sys
Удаляет следующие файлы
- %TEMP%\~abcjeQ9y.sys
- %TEMP%\~abcxr2S5.sys
Сетевая активность
TCP
Запросы HTTP GET
- http://do#####d.kulove123.com/tckz.txt
- http://do#####d.kulove123.com/QQgg.txt
- http://do#####d.kulove123.com/jxexe.txt
UDP
- DNS ASK do#####d.kulove123.com
- DNS ASK ba##u.com
- DNS ASK m.##idu.com
- DNS ASK ss#.##static.com
- DNS ASK sp#.#aidu.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Microsoft Internet Explorer'
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\10vnxtl16p8.exe'
