Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\fw.exe
- %WINDIR%\nviwhql.exe
Сетевая активность
Подключается к
- 'te###eidn.com':80
- 'ap##.#ame.qq.com':80
- 'cd#.#uilet.com':80
- '21######.sched.sma.tdnsv5.com':80
- 'sp#.#aidu.com':443
- 'gw##sh.com':80
TCP
Запросы HTTP GET
- http://dd####kd.mmakd.ren/API/General/theseven
- http://dd####kd.mmakd.ren/api/userconfig/uc_2bd4378e4519b0a0f73b3cd533996173.json
- http://dd####kd.mmakd.ren/API/General/arearst
- http://dd####kd.mmakd.ren/API/General/lsrpu
- http://dd####kd.mmakd.ren/API/General/czcheck
Запросы HTTP POST
- http://gw##sh.com/api/r/mcm
Другие
- 'sp#.#aidu.com':443
UDP
- DNS ASK te###eidn.com
- DNS ASK cd#.#qb3.com
- DNS ASK cd#.#uilet.com
- DNS ASK ap##.#ame.qq.com
- DNS ASK cd#.#ackow.com
- DNS ASK dd####kd.mmakd.ren
- DNS ASK cd#.#####w.com.cdn.dnsv1.com
- DNS ASK 21######.sched.sma.tdnsv5.com
- DNS ASK sp#.#aidu.com
- DNS ASK gw##sh.com
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\fw.exe'
- '%WINDIR%\nviwhql.exe'
- '%WINDIR%\fw.exe' ' (со скрытым окном)
- '%WINDIR%\nviwhql.exe' ' (со скрытым окном)
- '<SYSTEM32>\ipconfig.exe' /flushdns' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\reset.exe'
- '<SYSTEM32>\winlogon.exe'
- '<SYSTEM32>\ipconfig.exe' /flushdns
