Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsqaae9.tmp\system.dll
- %TEMP%\nsqaae9.tmp\findprocdll.dll
- %TEMP%\nsqaae9.tmp\inetc.dll
- %ProgramFiles(x86)%\ffdy\·åµçó°.url
- %PROGRAMDATA%\microsoft\windows\start menu\programs\·åµçó°\website.lnk
- %PROGRAMDATA%\microsoft\windows\start menu\programs\·åµçó°\uninstall.lnk
- %ProgramFiles(x86)%\ffdy\uninst.exe
- %TEMP%\nsqaae9.tmp\selfdel.dll
Удаляет следующие файлы
- %TEMP%\nsqaae9.tmp\findprocdll.dll
- %TEMP%\nsqaae9.tmp\inetc.dll
- %TEMP%\nsqaae9.tmp\selfdel.dll
- %TEMP%\nsqaae9.tmp\system.dll
Сетевая активность
TCP
- 'to####.lssen.com':443
UDP
- DNS ASK pc#####.b0.upaiyun.com
- DNS ASK un##n888.cn
- DNS ASK to####.lssen.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
