Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\lszip\ls01_gwall\lshenzip.exe
- %APPDATA%\lszip\ys4_gwall\lshighzip.exe
- %TEMP%\mn29ad.tmp.tlb
- %LOCALAPPDATA%\microsoft\internet explorer\domstore\p4p79gg0\news.7654[1].xml
Сетевая активность
TCP
Запросы HTTP GET
- http://do###.#horzip.muxin.fun/logo/v1.0.0.2/super.gif.MD5
- http://05#####ni.eastday.com/mobile/20200615/20200615020413_125bed4ed5518087c028dc479c3450c5_8_mwpm_03201609.jpg
- http://07#####ni.eastday.com/mobile/20200615/20200615015422_d88c9b0a5f89afbf92f253f5961ce629_1_mwpm_03201609.jpg
- http://05#####ni.eastday.com/mobile/20200615/20200615020413_125bed4ed5518087c028dc479c3450c5_12_mwpm_03201609.jpg
- http://02#####ni.eastday.com/mobile/20200615/20200615030716_50ce562aba905f6987cacfdeed704542_1_mwpm_03201609.jpg
- http://01#####ni.eastday.com/mobile/20200615/20200615030732_c8ccfa97ac62ed022ab4f7d9e6602dd3_1_mwpm_03201609.jpg
- http://01#####ni.eastday.com/mobile/20200615/20200615030732_c8ccfa97ac62ed022ab4f7d9e6602dd3_2_mwpm_03201609.jpg
- http://02#####ni.eastday.com/mobile/20200615/20200615030716_50ce562aba905f6987cacfdeed704542_4_mwpm_03201609.jpg
- http://07#####ni.eastday.com/mobile/20200615/20200615015422_d88c9b0a5f89afbf92f253f5961ce629_2_mwpm_03201609.jpg
- http://06#####ni.eastday.com/mobile/20200613/20200613220817_e07957c12071e6f7c705f18f6b8fcdcc_6_mwpm_03201609.jpg
- http://07#####ni.eastday.com/mobile/20200615/20200615015422_d88c9b0a5f89afbf92f253f5961ce629_4_mwpm_03201609.jpg
- http://07#####ni.eastday.com/mobile/20200615/20200615015422_d88c9b0a5f89afbf92f253f5961ce629_3_mwpm_03201609.jpg
- http://02#####ni.eastday.com/mobile/20200615/20200615030716_50ce562aba905f6987cacfdeed704542_3_mwpm_03201609.jpg
- http://02#####ni.eastday.com/mobile/20200615/20200615030716_50ce562aba905f6987cacfdeed704542_2_mwpm_03201609.jpg
- http://05#####ni.eastday.com/mobile/20200615/20200615020413_125bed4ed5518087c028dc479c3450c5_10_mwpm_03201609.jpg
- http://01#####ni.eastday.com/mobile/20200615/20200615030732_c8ccfa97ac62ed022ab4f7d9e6602dd3_4_mwpm_03201609.jpg
- http://ne##.7654.com/tipsdsp/libs/script/shdsp_new.js?v=######
- http://ne##.7654.com/tpop4/miniapi/recommend.json
- http://05#####ni.eastday.com/mobile/20200613/20200613215207_d8cda3b586c8f2a3c306279a257a57eb_2_mwpm_03201609.jpg
- http://s3##.fenxi.com/galileo/c9a92a9fedacd0a70abd69edd8712795.gif
- http://s3##.fenxi.com/galileo/310498369736162c4e9c7d651186699e.gif
- http://ma###.mediav.com/rtb?ty###################################################################################################################################################################...
- http://s3##.nzwgs.com/galileo/9e7787d7fb2bcc9fe43573898afd33d7.gif
- http://ad.##aizip.com/advertise/userclick?ti#####################################################################################################################################################...
- http://s3.##bdw.com/s?ty#########################################################################################################################################################################...
- http://ne##.7654.com/mini_new4/0512/statics/assets/images/adtxt.png
- http://01#####ni.eastday.com/mobile/20200615/20200615030732_c8ccfa97ac62ed022ab4f7d9e6602dd3_3_mwpm_03201609.jpg
- http://ne##.7654.com/tipsdsp/libs/script/zmdsp_new.js?v=#####
- http://ad###.kpzip.com/ZMdsp/v1/search/?da#######################################################################################################################################################...
- http://ss#.#654.com/ssp/v2/ads?qi################################################################################################################################################################...
- http://ne##.7654.com/tipsdsp/20/assets/s11.js?v=######
- http://ne##.7654.com/tipsdsp/libs/script/zmdsp_t.js?v=#####
- http://ne##.7654.com/tipsdsp/libs/script/zhike.js?v=######
- http://ne##.7654.com/tipsdsp/libs/script/kgdsp.js?v=#####
- http://ne##.7654.com/tipsdsp/libs/script/shdsp2.js?v=#####
- http://ad##.kpzip.com/dsp/user_click?co##########################################################################################################################################################...
- http://ne##.7654.com/tipsdsp/libs/sh_config.js?v=#####
- http://ne##.7654.com/tipsdsp/libs/config.js?v=###
- http://00#####ni.eastday.com/mobile/20200615/20200615021856_aace6eee25c34f3e60779ae66da5ce2e_1_mwpm_03201609.jpg
- http://00#####ni.eastday.com/mobile/20200615/20200615020309_291857f0c2dda383401ad1b6daebf83f_1_mwpm_03201609.jpg
- http://re####.#horzip.muxin.fun/lszip/bubble_info?co#############################################################################################################################################...
- http://do###.#horzip.muxin.fun/tui/tips/2/tips2.zip.MD5
- http://ne##.7654.com/mini_new4/0512/statics/assets/images/toggle_nav.png
- http://ne##.7654.com/mini_new4/0512/statics/assets/css/index.css?v=####
- http://ne##.7654.com/mini_new4/0512/statics/common/css/idangerous.swiper.css
- http://ne##.7654.com/mini_new4/0512/?qi##########################################################################################################################################################...
- http://do###.#horzip.muxin.fun/tui/package/tipsplus2/v1.0.5.8/tipsplus2.gif
- http://s3#.#zwgs.com/galileo/791153-82b76ce50a314efc32d43401992e0595.jpeg
- http://ne##.7654.com/mini_new4/0512/statics/common/js/jquery.cookie.js
- http://do###.#horzip.muxin.fun/tui/package/tipsplus2/v1.0.2.3/tipsplus2-3.exe
- http://do###.#horzip.muxin.fun/tui/package/mininewsplus/v5.0.293.17/mininewsplus.gif
- http://do###.#horzip.muxin.fun/tui/package/mininewsplus/v5.0.271.93/mininews-2.exe
- http://do####.#horzip.muxin.fun/thorzippath
- http://do###.#horzip.muxin.fun/logo/v1.0.0.2/uc.gif
- http://do###.#horzip.muxin.fun/logo/v1.0.0.2/uc.gif.MD5
- http://do###.#horzip.muxin.fun/logo/v1.0.0.2/super.gif
- http://ss#.#654.com/ct?mi########################################################################################################################################################################...
- http://sh##.#.mediav.com/s?ty####################################################################################################################################################################...
- http://ne##.7654.com/mini_new4/0512/statics/common/js/jquery.base64.js
- http://ne##.7654.com/mini_new4/0512/statics/assets/images/left.png
- http://ne##.7654.com/mini_new4/0512/statics/common/js/jquery.xDomain.js
- http://ne##.7654.com/tipsdsp/libs/script/common.js
- http://ne##.7654.com/tipsdsp/libs/script/json2.js
- http://ne##.7654.com/tipsdsp/libs/swiper/idangerous.swiper.min.js
- http://mi####i.7654.com/mini/news/recommend
- http://ne##.7654.com/tipsdsp/libs/script/jquery.base64.js
- http://ne##.7654.com/tipsdsp/libs/script/jquery.cookie.domain.js
- http://ne##.7654.com/mini_new4/0512/statics/assets/js/index.js?v=####
- http://ne##.7654.com/tipsdsp/libs/css/zhike.css?v=#####
- http://ne##.7654.com/mini_new4/0512/statics/common/js/jquery.min.js
- http://ne##.7654.com/tipsdsp/libs/swiper/idangerous.swiper.css
- http://ad#.#654.com/prod/news.7654.com.mini_new4.0512.json?t=#############
- http://ne##.7654.com/tipsdsp/20/s11/?pr##########################################################################################################################################################...
- http://do###.#horzip.muxin.fun/tui/tipsplus2/tipsplus2.json
- http://ne##.7654.com/mini_new4/0512/statics/assets/images/right.png
- http://ne##.7654.com/mini_new4/0512/statics/common/js/idangerous.swiper.min.js
- http://ne##.7654.com/tipsdsp/libs/script/jquery.min.js
- http://05#####ni.eastday.com/mobile/20200615/20200615020413_125bed4ed5518087c028dc479c3450c5_6_mwpm_03201609.jpg
Запросы HTTP POST
- http://kl.##ayg.com/zkactive/ctl/w/qinfo.html
UDP
- DNS ASK do###.#horzip.muxin.fun
- DNS ASK ad.##aizip.com
- DNS ASK s3.##bdw.com
- DNS ASK ma###.mediav.com
- DNS ASK s3##.nzwgs.com
- DNS ASK ad###.kpzip.com
- DNS ASK ad##.kpzip.com
- DNS ASK kl.##ayg.com
- DNS ASK 06#####ni.eastday.com
- DNS ASK 01#####ni.eastday.com
- DNS ASK 02#####ni.eastday.com
- DNS ASK 07#####ni.eastday.com
- DNS ASK 05#####ni.eastday.com
- DNS ASK 00#####ni.eastday.com
- DNS ASK sh##.#.mediav.com
- DNS ASK mi####i.7654.com
- DNS ASK hm.##idu.com
- DNS ASK ad#.#654.com
- DNS ASK ne##.7654.com
- DNS ASK ss#.#654.com
- DNS ASK re####.#horzip.muxin.fun
- DNS ASK do####.#horzip.muxin.fun
- DNS ASK s3#.#zwgs.com
- DNS ASK s3##.fenxi.com
Другое
Ищет следующие окна
- ClassName: 'E969AAD1-ACD6-462C-8BD2-E7B60CFD9C31' WindowName: 'E969AAD1-ACD6-462C-8BD2-E7B60CFD9C31'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\lszip\ls01_gwall\lshenzip.exe' LVBST0pFQ1Q9bHN5cyAtU3VwcG9ydE11bHRpRXhlPXRydWUgLXdyaXRldGNrPUxpdmVVcGRhdGUzNjAsNjMyIC11c2Vzc3Btb2RlPXRydWUgLXRpdGxlPUxzX21pbml6aXAgLWNsYXNzbmFtZT1Mc19taW5pemlwIC1vcHRpbWl6ZT01MCAtTXV0ZXhOYW1lP...
- '%APPDATA%\lszip\ys4_gwall\lshighzip.exe' z/2z3k8ESYtL6n/+Ki5m4srSvUL8QdNeltKp9AhOKAINWLlJcrGTxj9WmccPAH6d0Z6zGntm5G/ZMm9NyKLilYx5Fl774mKZhtWiNodw39PAFDRyfyOwhRlCXEiOO63c/uSXF/lcIjQWZ1ez2DANeZPE9bqhdJgUuFBrhXJ7eTatHTqQ0k5TQ9oLbq/Lwh7Wp...
