Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\crypto\rsa\s-1-5-21-1960123792-2022915161-3775307078-1001\9d1627c087e30ee6fe8c9cce3c77e841_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
- %APPDATA%\bittorrent\settings.dat.new
- %TEMP%\utt444.tmp
- %TEMP%\adkappsoffermanager.dll
- %TEMP%\utt9ff.tmp.new
Перемещает следующие файлы
- %APPDATA%\bittorrent\settings.dat.new в %APPDATA%\bittorrent\settings.dat
- %APPDATA%\bittorrent\settings.dat в %APPDATA%\bittorrent\settings.dat.old
- %TEMP%\utt9ff.tmp.new в %TEMP%\utt9ff.tmp
Подменяет следующие файлы
- %APPDATA%\bittorrent\settings.dat.new
- %APPDATA%\bittorrent\settings.dat
Сетевая активность
Подключается к
- 'up####.bittorrent.com':80
- 'up####.utorrent.com':80
- 'im#.###tall-zone.com':80
- 'co####.install-zone.com':80
TCP
Запросы HTTP GET
- http://up####.utorrent.com/installoffer.php?h=######################################################################################################
UDP
- DNS ASK up####.bittorrent.com
- DNS ASK up####.utorrent.com
- DNS ASK ap#.##encandy.com
- DNS ASK im#.###tall-zone.com
- DNS ASK co####.install-zone.com
Другое
Ищет следующие окна
- ClassName: 'BT4823DF041B09' WindowName: ''
- ClassName: '995D92B2-4ED9-43A7-9338-8CC7D1746F96' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\utt444.tmp",_OCPRD119RunOpenCandyDLL@16 568' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\utt444.tmp",_OCPRD119RunOpenCandyDLL@16 568
