Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\girl.ico
- %HOMEPATH%\desktop\ãà å®êóæµö±²¥.url
- %TEMP%\host_sb.ini
- %WINDIR%\syswow64\uuwisehelper.dll
- C:\adb\adb.exe
- C:\adb\adbwinapi.dll
- C:\adb\adbwinusbapi.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\uuwisehelper.dll
Сетевая активность
Подключается к
- 's1.##wise.com':80
- 'localhost':5037
- 's1.##skok.com':80
- 's1.##dati.com':80
TCP
Запросы HTTP GET
- http://bl##.#ina.com.cn/s/blog_131edc8560102ve08.html
- http://bl##.#ina.com.cn/s/blog_131e1d0f70102vc67.html
Запросы HTTP POST
- http://s1.##wise.com/Api/config.aspx
- http://s1.##skok.com/Api/config.aspx
UDP
- DNS ASK im#.#sers.51.la
- DNS ASK bl##.#ina.com.cn
- DNS ASK s1.##wise.com
- DNS ASK ad######br.l29.yunpan.cn
- DNS ASK s1.##dama.com
- DNS ASK s1.##skok.com
- DNS ASK s1.##dati.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\cmd.exe'
- 'C:\adb\adb.exe' devices
