Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\kgdoofh\cabklbi.exe
- %WINDIR%\kgdoofh\gvdigr.dll
- %WINDIR%\kgdoofh\absxph.dll
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://lm.##wangba.com/GetCfg?V=####################################################################
- http://lm.##obar.shop/GetCfg?V=####################################################################
- http://lm.##icafe8.com/GetCfg?V=####################################################################
- http://lm.###gengxin.shop/GetCfg?V=####################################################################
- http://47.##.143.174/GetCfg?V=####################################################################
Запросы HTTP POST
- http://47.##.143.174/AddReport
UDP
- DNS ASK lm.##wangba.com
- DNS ASK da##.58pap.com
- DNS ASK lm.##obar.shop
- DNS ASK lm.##icafe8.com
- DNS ASK lm.###gengxin.shop
Другое
Создает и запускает на исполнение
- '%WINDIR%\kgdoofh\cabklbi.exe'
- '%WINDIR%\kgdoofh\cabklbi.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' cmd /c ping 127.0.0.1 &&cmd /c del "<Полный путь к файлу>" >> NUL' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' cmd /c ping 127.0.0.1 &&cmd /c del "<Полный путь к файлу>" >> NUL
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>"
