Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\ms.job
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\OSS] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\688d.exe
- <SYSTEM32>\688d.exe -s
- <SYSTEM32>\688d.exe -i
Запускает на исполнение:
- <SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\363o.dll"
- <SYSTEM32>\rundll32.exe <SYSTEM32>\3fde.dll, Always
- <SYSTEM32>\rundll32.exe <SYSTEM32>\3fde.dll,Always
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\363o.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\1dl3.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\efc6.dll"
- <SYSTEM32>\regsvr32.exe /u /s "<SYSTEM32>\38fr.dll"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\h8nil4o8\4.dll
- %TEMP%\h8nil4o8\3.dll
- <SYSTEM32>\02afc
- <SYSTEM32>\83-105-7163
- %TEMP%\h8nil4o8\2.dll
- %TEMP%\h8nil4o8\b.dll
- %TEMP%\h8nil4o8\z.lz
- %TEMP%\h8nil4o8\s.exe
- %TEMP%\h8nil4o8\p.dll
Удаляет следующие файлы:
- %TEMP%\h8nil4o8\z.lz
Сетевая активность:
Подключается к:
- '12#.##0304123.cn':80
UDP:
- DNS ASK 12#.##0304123.cn
- DNS ASK ya###.com.cn
