Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'conhost' = '%APPDATA%\Microsoft\conhost.exe'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [<HKCU>\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyServer' = 'http=127.0.0.1:50586'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\audiodriver.exe
- %TEMP%\_trademark_ public v.6.3.exe
- %APPDATA%\microsoft\conhost.exe
- %APPDATA%\69cb.251
Сетевая активность
TCP
Запросы HTTP GET
- http://he####ylifenow.com/templates/7349/images/header_logo.jpg?v4####################################################################
UDP
- DNS ASK he####ylifenow.com
- DNS ASK zo##tf.com
- DNS ASK ha####laddin.com
- DNS ASK su#####minidevices.com
Другое
Создает и запускает на исполнение
- '%TEMP%\audiodriver.exe'
- '%TEMP%\_trademark_ public v.6.3.exe'
- '%TEMP%\audiodriver.exe' start%APPDATA%\dwm.exe%%APPDATA%
- '%TEMP%\audiodriver.exe' start%TEMP%\csrss.exe%%LOCALAPPDATA%\Temp
