Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = ' '
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\ff39eb65] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\ff39eb65] 'ImagePath' = '"<SYSTEM32>\rundll32.exe" "%ProgramFiles(x86)%\coolsoft\coolsoft.dll",serv'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tf266f17f4.dll
- %ProgramFiles(x86)%\coolsoft\coolsoft.dll
Удаляет следующие файлы
- %TEMP%\tf266f17f4.dll
Сетевая активность
Подключается к
- 'ed###on.cnn.com':80
UDP
- DNS ASK ed###on.cnn.com
- DNS ASK te###ne.info
- DNS ASK te##ine.net
- DNS ASK fa###rygood.net
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "%ProgramFiles(x86)%\coolsoft\coolsoft.dll",serv -install
- '<SYSTEM32>\rundll32.exe' "%ProgramFiles(x86)%\coolsoft\coolsoft.dll",serv
