Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'sysldtray' = '%WINDIR%\ld12.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\prxid93ps.dat
- <Текущая директория>\x2.dat
- %WINDIR%\ld12.exe
- %WINDIR%\34rdft.bat
Удаляет следующие файлы
- <Текущая директория>\x2.dat
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://www.google.com/
Запросы HTTP POST
- http://u1##ul.com/achcheck.php
- http://um###ummer.com/achcheck.php
UDP
- DNS ASK google.com
- DNS ASK up##306.com
- DNS ASK rj###three.com
- DNS ASK ut###ejuly.com
- DNS ASK u1##ul.com
- DNS ASK um###ummer.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\ld12.exe'
- '%WINDIR%\ld12.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\34rdft.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\34rdft.bat
