Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\audiodg.exe
Изменения в файловой системе
Самоудаляется.
Сетевая активность
Подключается к
- 'ap##.#ame.qq.com':80
- 'cd#.#uilet.com':80
- '21######.sched.sma.tdnsv5.com':80
UDP
- DNS ASK cd#.#qb3.com
- DNS ASK ap##.#ame.qq.com
- DNS ASK cd#.#uilet.com
- DNS ASK cd#.#ackow.com
- DNS ASK dd####kd.mmakd.ren
- DNS ASK cd#.#####w.com.cdn.dnsv1.com
- DNS ASK 21######.sched.sma.tdnsv5.com
- DNS ASK 84######8b2479d8.gazigz.cn
- DNS ASK 58.###mon.gazigz.cn
Другое
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del /Q /F "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe'
- '<SYSTEM32>\audiodg.exe'
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '%WINDIR%\syswow64\cmd.exe' /c del /Q /F "<Полный путь к файлу>"
