Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '10871' = '"<Полный путь к файлу>"'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '10871' = '"%WINDIR%\SysWOW64\b81vb3.exe"'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\b81vb3.exe
- %WINDIR%\syswow64\44355.nls
Изменяет файл HOSTS.
Сетевая активность
TCP
- 'ca###ngx2.com':18008
UDP
- DNS ASK gc#####2.garenanow.com
- DNS ASK ca###ngx2.com
- DNS ASK ch####mht.ddns.net
Другое
Ищет следующие окна
- ClassName: 'CSMClientClass' WindowName: ''
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: 'SysPager' WindowName: ''
- ClassName: 'ToolbarWindow32' WindowName: 'Notification Area'
- ClassName: 'ToolbarWindow32' WindowName: 'User Promoted Notification Area'
- ClassName: 'NotifyIconOverflowWindow' WindowName: ''
- ClassName: 'ToolbarWindow32' WindowName: 'Overflow Notification Area'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\b81vb3.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /Delete /tn "gxx speed launcher" /f
- '%WINDIR%\syswow64\arp.exe' -a
