Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\process] 'ImagePath' = '%WINDIR%\5443\rXu7.sys'
Создает следующие сервисы
- 'process' %WINDIR%\5443\rXu7.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\otalm.txt
- %WINDIR%\5443\rxu7.sys
Удаляет следующие файлы
- %WINDIR%\5443\rxu7.sys
Сетевая активность
Подключается к
- '<LOCALNET>.49.42':18691
- '10#.#5.86.163':50924
- 'localhost':49806
- '10#.#5.86.164':50924
- 'k8#####g.adkuai8.com':50924
TCP
Запросы HTTP GET
- http://li##.##kuai8.com:6666/18ee46c43b8da21acb02107cc0987680.txt via li##.#dkuai8.com
- http://61.###.11.203:6666/d35ea1e99a035ca2567f9504866fb81d.exe
- http://47.##.220.198:7890/0a0027000031.txt via 47.##.220.198
- http://61.###.11.203:50924/a251e83c8a975812826d8e37dffaee3c.zip
UDP
- DNS ASK k8#####g.adkuai8.com
- DNS ASK li##.#dkuai8.com
- '<LOCALNET>.49.255':18691
- '47.##.220.198':7896
Другое
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
