Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e2eecore.1.8.5.dll
- <Текущая директория>\zlibwapi.dll
- %APPDATA%\core\smg_logo.ico
- <Текущая директория>\smg ver7.5.3.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\zlibwapi.dll
Самоудаляется.
Сетевая активность
TCP
- 'ap#.#reeyun.net':443
- 'sm############9393668.cos.ap-beijing.myqcloud.com':443
UDP
- DNS ASK ap#.#reeyun.net
- DNS ASK sm############9393668.cos.ap-beijing.myqcloud.com
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\smg ver7.5.3.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ping 1.1.1.1 -n 1 -w 500 & del "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 1.1.1.1 -n 1 -w 500 & del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' 1.1.1.1 -n 1 -w 500
