Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\easyhook.dll
- <Текущая директория>\easyhook64.dll
- <Текущая директория>\easyload64.dll
- <Текущая директория>\barmonitor.dll
- %LOCALAPPDATA%\barhelper.dll
Сетевая активность
TCP
Запросы HTTP POST
- http://ch######.zhuge666.com:21700/Update/AppLoader via ch#####g.zhuge666.com
- http://ch######.zhuge666.com:21700/Update/App via ch#####g.zhuge666.com
- http://ch######.zhuge666.com:21700/Update/PlugSetup via ch#####g.zhuge666.com
UDP
- DNS ASK ch#####g.zhuge666.com
- DNS ASK zh######.##s-cn-beijing.aliyuncs.com
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k imgsvr
