Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <Текущая директория>\jiangyiguosharuanziqidong.lnk
- %APPDATA%\microsoft\windows\start menu\programs\startup\windows_smss.scr.lnk
- %APPDATA%\microsoft\windows\start menu\programs\startup\windows_dwm.scr.lnk
- %APPDATA%\microsoft\windows\start menu\programs\startup\adb.url
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Spooler11] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Spooler11] 'ImagePath' = '%WINDIR%\sdqlyk~1\EEEEEEEEEEEEEEEEEE'
Создает следующие сервисы
- 'Spooler11' %WINDIR%\sdqlyk~1\eeeeeeeeeeeeeeeeee
Изменения в файловой системе
Создает следующие файлы
- C:\yyy123
- <Текущая директория>\jiangyiguosharuanziqidong.lnk
- %WINDIR%\sdqlyk~1\eeeeeeeeeeeeeeeeee
- %TEMP%\10ed3b.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- C:\yyy123
- %TEMP%\10ed3b.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\adb.url
- <Полный путь к файлу>
Сетевая активность
Подключается к
- 'r.###ne.qq.com':80
- 'r.###ne.qq.com':443
- 'cr#.##gicert-cn.com':80
- 'oc##.dcocsp.cn':80
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://oc##.dcocsp.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTHv1Dj%2BciPJEWH5JNtwL5Y07mRqwQUxBF%2BiECGwkG%2FZfMa4bRTQKOr7H0CEArIzKqFYmE3jrS4gQrE3QI%3D
UDP
- DNS ASK r.###ne.qq.com
- DNS ASK cr#.##gicert-cn.com
- DNS ASK oc##.dcocsp.cn
- DNS ASK microsoft.com
