Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- C:\clown\clown_ls\yykh51_7jz_2lb_pf_4rh_8tj_3wm_7.exe
- C:\clown\clown_ls\ .bat
- %WINDIR%\logs\piaoking\ca.sam
Удаляет следующие файлы
- C:\clown\clown_ls\yykh51_7jz_2lb_pf_4rh_8tj_3wm_7.exe
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\[2755acbc24cdca7c3fdb518a518fe578]
Сетевая активность
Подключается к
- 'ba##u.com':80
- 'xz.##nan.pub':80
- 'xb.###shiqqsg.cn':80
TCP
Запросы HTTP GET
- http://www.ba##u.com/
- http://xz.##nan.pub/hundangou.txt
Запросы HTTP POST
- http://xb######qqsgcn.hichina.com/api/userapi.ashx?ac############
UDP
- DNS ASK ba##u.com
- DNS ASK xz.##nan.pub
- DNS ASK xb.###shiqqsg.cn
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- 'C:\clown\clown_ls\yykh51_7jz_2lb_pf_4rh_8tj_3wm_7.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Clown\Clown_ls\ .bat""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\Clown\Clown_ls\ .bat""
