Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '<Полный путь к файлу>'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\para.ini
- <Текущая директория>\index.ini
Сетевая активность
Подключается к
- 'ap##.#ptocycle.com':80
TCP
Запросы HTTP GET
- http://ap##.#ptocycle.com/update/index.ini
Запросы HTTP POST
- http://ap##.#ptocycle.com/aps.php/Isfreed/sanll
- http://ap##.#ptocycle.com/aps.php/udata/user_info
- http://ap##.#ptocycle.com/aps.php/udata/pc_domain_info
UDP
- DNS ASK ap##.#ptocycle.com
Другое
Ищет следующие окна
- ClassName: 'MegWnd' WindowName: 'SearchIndexerWnd'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c whoami' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c netsh wlan show profiles' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c whoami
- '%WINDIR%\syswow64\whoami.exe'
- '%WINDIR%\syswow64\cmd.exe' /c netsh wlan show profiles
- '%WINDIR%\syswow64\netsh.exe' wlan show profiles
