Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- Изменяет DNS-сервер на '47.99.55.5'
- Изменяет DNS-сервер на '114.114.114.114'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\systray.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\sample_mailslotok
Удаляет следующие файлы
- <Текущая директория>\sample_mailslotok
Самоудаляется.
Сетевая активность
Подключается к
- '11#.#78.193.24':80
- '10#.#5.149.249':80
- 'uj####h.50151.top':2022
TCP
Запросы HTTP GET
- http://127.0.0.1/baijiahei/sample_mailslotok
- http://uj#####.50151.top:2022/0a.js via uj####h.50151.top
UDP
- DNS ASK uj####h.50151.top
Другое
Изменяет значение AutoConfigURL на 'http://ujbgqph.50151.top:2022/0a.js'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> >> NUL' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\systray.exe'
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> >> NUL
