Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\ialdnwxf] 'ImagePath' = '<Текущая директория>\superec.ProcessMemory.sys'
Создает следующие сервисы
- 'ialdnwxf' <Текущая директория>\\superec.ProcessMemory.sys
- 'ialdnwxf' <Текущая директория>\superec.ProcessMemory.sys
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\se1219.tmp
- %WINDIR%\syswow64\superec_hook.dll
- <Текущая директория>\superec.processmemory.sys
- %WINDIR%\temp\udd1a91.tmp
Удаляет следующие файлы
- %TEMP%\se1219.tmp
- %WINDIR%\temp\udd1a91.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://hi.##idu.com/№ПЦЭ1/blog/item/f35c8f8c8455948ef603a6a9.html
UDP
- DNS ASK hi.##idu.com
- DNS ASK in####ow.baidu.com
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
