Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\EmonSrv] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\EmonSrv] 'ImagePath' = '%WINDIR%\SysWOW64\lfrmewrk.exe'
Создает следующие сервисы
- 'EmonSrv' %WINDIR%\SysWOW64\lfrmewrk.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\3832-6620
- %WINDIR%\syswow64\lfrmewrk.exe
- %WINDIR%\syswow64\tmp335.tmp
- %WINDIR%\syswow64\hbcmd.dll
- %WINDIR%\syswow64\tmp333.tmp
- %WINDIR%\syswow64\bofang.dll
- %WINDIR%\syswow64\tmp334.tmp
- %TEMP%\nsd9271.tmp\system.dll
- %TEMP%\lfrmewrk.exe
- %TEMP%\hbcmd.dll
- %TEMP%\usb8028x.sys
- %TEMP%\usb8028.sys
- %TEMP%\rginstall.dll
- %TEMP%\bofang.dll
- %TEMP%\nsi91f3.tmp
- %WINDIR%\8fd0.tmp
- %WINDIR%\syswow64\msrundll.exe
- %WINDIR%\syswow64\5432-6620
Удаляет следующие файлы
- %TEMP%\bofang.dll
- %TEMP%\hbcmd.dll
- %TEMP%\lfrmewrk.exe
- %TEMP%\rginstall.dll
- %TEMP%\nsd9271.tmp\system.dll
- %WINDIR%\8fd0.tmp
Самоудаляется.
Сетевая активность
Подключается к
- '21#.#48.38.240':80
UDP
- DNS ASK ya###.com.cn
- DNS ASK cc#.#oolans.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\8fd0.tmp' /S
- '%WINDIR%\syswow64\lfrmewrk.exe' -i
- '%WINDIR%\syswow64\lfrmewrk.exe' -s
- '%WINDIR%\syswow64\lfrmewrk.exe'
- '%WINDIR%\syswow64\msrundll.exe' <SYSTEM32>\bofang.dll,Always
- '%WINDIR%\syswow64\msrundll.exe' <SYSTEM32>\bofang.dll,Always' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /u /s "<SYSTEM32>\HelpIE.dll"
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\hbcmd.dll"
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>
