Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\zcb] 'ImagePath' = '%TEMP%\zcb.sys'
- [<HKLM>\System\CurrentControlSet\Services\81420] 'ImagePath' = '%TEMP%\81420.sys'
- [<HKLM>\SYSTEM\CurrentControlSet\services\81420] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\A376EF] 'ImagePath' = '%TEMP%\A376EF.sys'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\A376EF] 'start' = '00000002'
Создает следующие сервисы
- 'zcb' %TEMP%\zcb.sys
- '81420' %TEMP%\81420.sys
- 'A376EF' %TEMP%\A376EF.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\myini.ini
- %TEMP%\81420.sys
- %TEMP%\zcb.sys
- %TEMP%\a376ef.sys
- %WINDIR%\temp\udd1b4d.tmp
- %WINDIR%\temp\udd277e.tmp
- C:\netfilter2\ssl\cert.db
- C:\netfilter2\ssl\sample ca 2.cer
- ctrlsm
- %ProgramFiles(x86)%\pidgin\ca-certs\sample ca 2.pem
Удаляет следующие файлы
- %TEMP%\zcb.sys
- %WINDIR%\temp\udd1b4d.tmp
- %WINDIR%\temp\udd277e.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://j.###woool.xyz/list.txt
UDP
- DNS ASK fh###.####cn-beijing.aliyuncs.com
- DNS ASK microsoft.com
- DNS ASK a.##cs.com
- DNS ASK wt##che.com
- DNS ASK b.##cs.com
- DNS ASK c.##cs.com
- DNS ASK AB#.#5cs.com
- DNS ASK j.###woool.xyz
- DNS ASK st####.rapidssl.com
Другое
Добавляет корневой сертификат
Ищет следующие окна
- ClassName: '' WindowName: 'ВЎВЎВЎВЎВЎВЎ'
