Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = ''
Изменения в файловой системе
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://ap##.#ame.qq.com/comm-htdocs/ip/get_ip.php
- http://cd#.#goutt.com/appi/appi/qwertyuiop030
- http://cd#.#goutt.com/API/General/theseven
- http://cd#.#goutt.com/api/userconfig/uc_e6d9b0fb3bed99c5754ba7bf628ec3ff.json
- http://cd#.#goutt.com/API/General/lsrpu
- http://tu##utd.cn/api/r/ip
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Запросы HTTP POST
- http://tu##utd.cn/api/r/mcm
UDP
- DNS ASK cd#.#goutt.com
- DNS ASK au##bimsxbn
- DNS ASK ap##.#ame.qq.com
- DNS ASK sp#.#aidu.com
- DNS ASK cd#.#####t.com.cdn.dnsv1.com
- DNS ASK bc######.sched.sma.tdnsv5.com
- DNS ASK tu##utd.cn
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del /Q /F "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\mfpmp.exe'
- '<SYSTEM32>\winlogon.exe'
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '%WINDIR%\syswow64\cmd.exe' /c del /Q /F "<Полный путь к файлу>"
