Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'microsoft' = '<Полный путь к файлу> '
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\survival_0.txt
- %PROGRAMDATA%\microsoft\windows\start menu\programs\startup\run.jse
Сетевая активность
TCP
Запросы HTTP GET
- http://da##.##aoxiangyu.com/data.xml
UDP
- DNS ASK da###.rengdiao.com
- DNS ASK da##.##aoxiangyu.com
- DNS ASK 11####rch.118114.cn
- DNS ASK di##xin.cn
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Maxthon2_Frame' WindowName: ''
- ClassName: 'XFrame_Wnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "microsoft" /d "<Полный путь к файлу> " /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v "microsoft" /d "<Полный путь к файлу> " /f
