Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\netfilter2] 'Start' = '00000001'
- [<HKLM>\System\CurrentControlSet\Services\netfilter2] 'ImagePath' = 'system32\drivers\netfilter2.sys'
Создает следующие сервисы
- 'netfilter2' system32\drivers\netfilter2.sys
Изменения в файловой системе
Создает следующие файлы
- C:\steamspeedv31\socksder.exe
- C:\steamspeedv31\drivemode.dll
- <Текущая директория>\nfapi.dll
- <DRIVERS>\netfilter2.sys
- C:\steamspeedv31\steamspeed.ini
- %WINDIR%\temp\udd3f7f.tmp
- %WINDIR%\temp\udd476c.tmp
- %WINDIR%\temp\udd4f4a.tmp
- %WINDIR%\temp\udd5727.tmp
- %WINDIR%\temp\udd5f04.tmp
- %WINDIR%\temp\udd66e2.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\nfapi.dll
Удаляет следующие файлы
- %WINDIR%\temp\udd3f7f.tmp
- %WINDIR%\temp\udd476c.tmp
- %WINDIR%\temp\udd4f4a.tmp
- %WINDIR%\temp\udd5727.tmp
- %WINDIR%\temp\udd5f04.tmp
- %WINDIR%\temp\udd66e2.tmp
Сетевая активность
Подключается к
- 'st###.wyjsq.cn':80
- 'st###.wyjsq.cn':443
- 'microsoft.com':80
- 'st###speed.cn':443
TCP
Запросы HTTP GET
- http://st###.wyjsq.cn/gg/ggsl.txt
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://st###.wyjsq.cn/gg/gg1.txt
- http://st###.wyjsq.cn/gg/gg1.png
- http://st###.wyjsq.cn/steam1.txt
- http://st###.wyjsq.cn/gx.txt
Запросы HTTP POST
- http://st###.wyjsq.cn/zxtj/ine.php
Другие
- 'st###.wyjsq.cn':443
- 'st###speed.cn':443
UDP
- DNS ASK st###.wyjsq.cn
- DNS ASK microsoft.com
- DNS ASK st###speed.cn
