Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Scrkey' = '"C:\Users\Public\Documents\KeyScr\KeyScr.exe" -HIDE'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\keyscr\keyscr.exe
- C:\users\public\documents\keyscr\keylog.dll
- C:\users\public\documents\keyscr\ttscr.ini
- %TEMP%\temp.txt
- C:\users\public\documents\screen\2022-04-18 22-36-34.db
- C:\users\public\documents\screen\2022-04-18 22-37-04.db
Изменяет следующие файлы
Сетевая активность
Подключается к
- 'ad.##aohn.com':80
TCP
Запросы HTTP GET
- http://ad.##aohn.com/keyscr/main9.html
UDP
- DNS ASK ad.##aohn.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'ÖÐÎļüÅ̼ǼÆ÷v2.1'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- 'C:\users\public\documents\keyscr\keyscr.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' %TEMP%\temp.txt
