Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'HelpPane' = '%TEMP%\lu.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'HelpPane' = '%TEMP%\lu.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\files.ini
- %TEMP%\qguuv\as3550015.exe
- %WINDIR%\inf\b
- %TEMP%\lu.exe
- %TEMP%\lua51.dll
- %TEMP%\lsass.exe
- %TEMP%\helppane.exe
- %TEMP%\qguuv\kuaizip_setup_7654_1056939.exe
Перемещает следующие файлы
- %TEMP%\helppane.exe в %TEMP%\1153390\....\temporaryfile
- %TEMP%\lsass.exe в %TEMP%\1154812\....\temporaryfile
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Подменяет следующие файлы
- %TEMP%\helppane.exe
- %TEMP%\lsass.exe
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\1090015\....\temporaryfile
Сетевая активность
TCP
Запросы HTTP GET
- http://mi##.wcd.qq.com/app?pa#####################################
- http://dl.#kiki.cn/dl/approval/as3550015.exe
- http://dl.####hihuo.com:8800/player/qf[78].exe via dl.###chihuo.com
- http://ab#.#h2w.com/bbb.jpg
- http://dl.##rjxz.com/downloads/special/kyzipx/Kuaizip_Setup_7654_1056939.exe
UDP
- DNS ASK mi##.wcd.qq.com
- DNS ASK 12##.ip138.com
- DNS ASK dl.#kiki.cn
- DNS ASK dl.###chihuo.com
- DNS ASK ab#.#h2w.com
- DNS ASK dl.##rjxz.com
Другое
Создает и запускает на исполнение
- '%TEMP%\lsass.exe'
- '%TEMP%\lu.exe'
- '%TEMP%\helppane.exe'
- '%TEMP%\qguuv\kuaizip_setup_7654_1056939.exe' -jingmo
- '%TEMP%\lu.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe' /n,%TEMP%\qguuv\as3550015.exe
- '%WINDIR%\syswow64\explorer.exe' /n,%TEMP%\lu.exe
