Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = '<Полный путь к файлу>'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'HD_ls.exe' = '<SYSTEM32>\HD_ls.exe'
Заражает следующие исполняемые файлы
- %HOMEPATH%\desktop\calc.exe
- %HOMEPATH%\desktop\skypesetup.exe
- %HOMEPATH%\desktop\utorrent.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1.dat
- %WINDIR%\hd_.exe
- %TEMP%\1.ico
- %TEMP%\rcx778f.tmp
- %TEMP%\rcx784b.tmp
- %TEMP%\rcx7956.tmp
- %WINDIR%\syswow64\hd_ls.exe
Удаляет следующие файлы
- %TEMP%\1.ico
Перемещает следующие файлы
- %TEMP%\rcx778f.tmp в %TEMP%\1.dat
- %TEMP%\rcx784b.tmp в %TEMP%\1.dat
- %TEMP%\rcx7956.tmp в %TEMP%\1.dat
Подменяет следующие файлы
- %TEMP%\1.ico
Сетевая активность
Подключается к
- 'qq#####3.f08.87yun.club':80
TCP
Запросы HTTP GET
- http://qq#####3.f08.87yun.club/hm.txt
- http://qq#####3.f08.87yun.club/hm.dat
UDP
- DNS ASK qq#####3.f08.87yun.club
