Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dllhost.exe
- %TEMP%\easyhook.dll
- %TEMP%\easyhook64.dll
- %TEMP%\easyload64.dll
- %TEMP%\barmonitor.dll
- %LOCALAPPDATA%\barhelper.dll
Сетевая активность
TCP
Запросы HTTP POST
- http://ch######.zhuge666.com:21700/Update/AppLoader via ch#####g.zhuge666.com
- http://ch######.zhuge666.com:21700/Update/App via ch#####g.zhuge666.com
- http://ch######.zhuge666.com:21700/Update/PlugSetup via ch#####g.zhuge666.com
UDP
- DNS ASK ch#####g.zhuge666.com
- DNS ASK zh######.##s-cn-beijing.aliyuncs.com
Другое
Создает и запускает на исполнение
- '%TEMP%\dllhost.exe'
- '%TEMP%\dllhost.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\svchost.exe' -k imgsvr
