Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\toolbar.bmp
- %HOMEPATH%\desktop\sdszfo.docx
- %HOMEPATH%\desktop\dashborder_120.bmp
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\ipnathlpclientex.dll
- %TEMP%\6bea8ab2-1881-4525-8026-62bccdfc33ae.bat
Самоудаляется.
Сетевая активность
Подключается к
- 'ds##.stnts.com':80
- 'in##.#orkday360.cn':80
TCP
Запросы HTTP GET
- http://ds##.stnts.com/?op########################################################################################################################################################################...
UDP
- DNS ASK ds##.stnts.com
- DNS ASK in##.#orkday360.cn
Другое
Ищет следующие окна
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'MSTaskSwWClass' WindowName: ''
- ClassName: 'MSTaskListWClass' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\6BEA8AB2-1881-4525-8026-62BCCDFC33AE.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\6BEA8AB2-1881-4525-8026-62BCCDFC33AE.bat" "
