Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = 'C:\Users\Public\Music\TM\Application Frame Host.exe'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1201' = '0'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\downloads\0136784907938711\aaaaaaaa.chm
- C:\users\public\music\tm\application frame host.exe
- C:\users\public\music\tm\nw_elf.dll
- %LOCALAPPDATA%\crashpad\settings.dat
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\downloads\0136784907938711\aaaaaaaa.chm
Сетевая активность
Подключается к
- '18#.#1.147.10':88
- '11#.#2.66.125':1234
- 'ta##ao.com':80
- 'ta##ao.com':443
TCP
Запросы HTTP GET
- http://18#.##.147.10:88/TM/110.92.66.125/nw_elf.dll via 18#.#1.147.10
UDP
- DNS ASK ta##ao.com
Другое
Ищет следующие окна
- ClassName: 'HH Parent' WindowName: 'HTML Help'
Создает и запускает на исполнение
- 'C:\users\public\music\tm\application frame host.exe'
- 'C:\users\public\music\tm\application frame host.exe' --type=crashpad-handler /prefetch:7 --no-rate-limit --database=%LOCALAPPDATA%\Crashpad --annotation=channel= --annotation=plat=Win32 --annotation=prod=nwjs --annotation=ver=-devel --handshake-h...
Запускает на исполнение
- '%WINDIR%\hh.exe' C:\Users\Public\Downloads\0136784907938711\AAAAAAAA.CHM
