Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\ms_2fax] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\ms_2fax] 'ImagePath' = '%WINDIR%\SysWOW64\00cd1.exe'
Создает следующие сервисы
- 'ms_2fax' %WINDIR%\SysWOW64\00cd1.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsc5f21.tmp
- %TEMP%\play.dll
- %TEMP%\inst.dll
- %TEMP%\bho.dll
- %TEMP%\ser.exe
- %TEMP%\nsh60c7.tmp\system.dll
- %WINDIR%\syswow64\111.dll
- %WINDIR%\d71.bmp
- %WINDIR%\syswow64\1001.dll
- %WINDIR%\75c1.exe
- %WINDIR%\syswow64\00cd1.exe
- %WINDIR%\5c601.txt
- %WINDIR%\syswow64\7-94-59-35
- %WINDIR%\syswow64\0f8
Удаляет следующие файлы
- %TEMP%\inst.dll
Сетевая активность
Подключается к
- '21#.#48.38.240':80
UDP
- DNS ASK ya###.com.cn
- DNS ASK 12#.##0304123.cn
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\00cd1.exe' -i
- '%WINDIR%\syswow64\00cd1.exe' -s
- '%WINDIR%\syswow64\00cd1.exe'
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\111.dll,Always' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "<SYSTEM32>\HelpIE.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "<SYSTEM32>\bho.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "<SYSTEM32>\2fa7.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "<SYSTEM32>\2771.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "<SYSTEM32>\100.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\1001.dll"
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\111.dll,Always
