Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\lnlfdxfirc] 'ImagePath' = '<DRIVERS>\phqghumeay.sys'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f5d22e89b4d7229258b4b6a68005875b.txt
- %HOMEPATH%\desktop\º£ìä´«ææ.lnk
- <Текущая директория>\f5d22e89b4d7229258b4b6a68005875b.zip
- <Текущая директория>\data\mapdesc1.dat
- <Текущая директория>\data\newopui.pak
- %TEMP%\1a64568a07b832f28114126d58e099fb.ini
- %TEMP%\3a31df74848db69dc42cec051c7e7c1e.txt
- %TEMP%\rar_nkheax.exe
- %TEMP%\rar_uvbhle.exe
- %TEMP%\msg_drdupa.jpg
- <DRIVERS>\phqghumeay.sys
- %TEMP%\msg_ycdquc.jpg
Удаляет следующие файлы
- %TEMP%\1a64568a07b832f28114126d58e099fb.ini
- %TEMP%\msg_drdupa.jpg
- %TEMP%\rar_uvbhle.exe
- %TEMP%\msg_ycdquc.jpg
- %TEMP%\rar_nkheax.exe
Подменяет следующие файлы
- %TEMP%\1a64568a07b832f28114126d58e099fb.ini
Сетевая активность
TCP
Запросы HTTP GET
- http://www.sy##y.com/8888.txt
- http://www.sy##y.com/baidu4f_com_zb/4.gif
- http://we#.#unmama.com/x64.html
- http://im####.baidu.com/tieba/pic/item/1ad5ad6eddc451da001d71bcb9fd5266d11632f9.jpg
- http://www.sy##y.com/baidu4f_com_zb/5.gif
- http://www.sy##y.com/baidu4f_com_zb/6.gif
- http://im####.baidu.com/tieba/pic/item/96dda144ad345982526eafc503f431adcaef8485.jpg
- http://im####.baidu.com/tieba/pic/item/d058ccbf6c81800a39e7c059be3533fa828b4762.jpg
- http://www.sy##y.com/baidu4f_com_zb/7.gif
- http://www.sy##y.com/baidu4f_com_zb/8.gif
- http://www.sy##y.com/baidu4f_com_zb/9.gif
- http://www.sy##y.com/images/erweima.jpg
- http://www.sy##y.com/js/jquery.imgslider.js
- http://fp######ad2.macromedia.com/get/flashplayer/update/current/install/version.xml19.0.0.207~installVector=2&lang=en&cpuWordLength=64&playerType=ax&os=win&osVer=13
- http://www.sy##y.com/js/Carousel.js
- http://www.sy##y.com/js/cqCopyRight.js
- http://www.sy##y.com/css/copy.css
- http://im####.baidu.com/forum/pic/item/c2cec3fdfc03924517d62a428994a4c27d1e2518.jpg
- http://www.sy##y.com/images/index_01.jpg
- http://www.sy##y.com/images/btn1.png
- http://www.sy##y.com/images/btn3.png
- http://www.sy##y.com/images/left1.png
- http://www.sy##y.com/images/left2.png
- http://www.sy##y.com/images/left3.png
- http://www.sy##y.com/Top/images/zbbtn.png
- http://www.sy##y.com/Top/images/zbz.png
- http://www.sy##y.com/Top/images/zbt.png
- http://www.sy##y.com/Top/images/zbd.png
- http://www.sy##y.com/images/btn2.png
- http://www.sy##y.com/images/logo.png
- http://www.sy##y.com/css/black.css
- http://im####.baidu.com/forum/pic/item/1f178a82b9014a90023b7290a6773912b31bee92.jpg
- http://23.##2.162.46/?a=#####################################
- http://www.sy##y.com/baidu4f_com_zb/3.gif
- http://www.sy##y.com/images/body.jpg
- http://www.sy##y.com/
- http://www.sy##y.com/style/style.css
- http://www.sy##y.com/js/jquery.js
- http://www.sy##y.com/js/jqueryXslider.js
- http://www.sy##y.com/js/jquery.jcarousellite.js
- http://www.sy##y.com/js/easyscroll.js
- http://www.sy##y.com/js/mousewheel.js
- http://www.sy##y.com/js/load.js
- http://www.sy##y.com/js/html5.js
- http://www.sy##y.com/Top/js/CopyTop.js
- http://www.sy##y.com/style/all.css
- http://www.sy##y.com/style/reset_css.css
- http://pz.###food.com:86/0713.txt via pz.##0food.com
- http://pz.###food.com:86/dll.txt via pz.##0food.com
- http://www.sy##y.com/Top/css/cptop.css
- http://www.sy##y.com/baidu4f_com_zb/2.gif
- http://www.sy##y.com/Top/images/bg_01.jpg
- http://www.sy##y.com/Top/images/bg_02.jpg
- http://www.sy##y.com/Top/flash/banner.swf
- http://im####.baidu.com/forum/pic/item/b151f8198618367acf04a3a821738bd4b31ce532.jpg
- http://www.sy##y.com/Top/images/bg_03.jpg
- http://www.sy##y.com/Top/images/bg_04.jpg
- http://www.sy##y.com/Top/images/bg_05.jpg
- http://www.sy##y.com/images/banner1.jpg
- http://we#.#6dlq.com/fix.dat
- http://www.sy##y.com/images/banner2.jpg
- http://www.sy##y.com/images/banner3.jpg
- http://im####.baidu.com/forum/pic/item/a2cc7cd98d1001e9326f45efb40e7bec55e797fa.jpg
- http://im####.baidu.com/forum/pic/item/b219ebc4b74543a90c7dab2c12178a82b80114ef.jpg
- http://www.sy##y.com/baidu4f_com_zb/1.gif
- http://im####.baidu.com/forum/pic/item/96dda144ad345982ed5fd0bf03f431adcaef84c1.jpg
- http://www.sy##y.com/images/bg_b.jpg
UDP
- DNS ASK sy##y.com
- DNS ASK xz.##0food.com
- DNS ASK pz.##0food.com
- DNS ASK im####.baidu.com
- DNS ASK we#.#6dlq.com
- DNS ASK fc.##dlq.com
- DNS ASK fe##.66dlq.com
- DNS ASK fd##.66dlq.com
- DNS ASK in###nic.com
- DNS ASK we#.#unmama.com
- DNS ASK fp######ad2.macromedia.com
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rar_uvbhle.exe' msg_drdupa.jpg
- '%TEMP%\rar_nkheax.exe' msg_ycdquc.jpg
- '%TEMP%\rar_uvbhle.exe' msg_drdupa.jpg' (со скрытым окном)
- '%TEMP%\rar_nkheax.exe' msg_ycdquc.jpg' (со скрытым окном)
