Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ghost' = '%WINDIR%\updatevideo.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\phpa13e.tmp
- %TEMP%\phpa14e.tmp
- %TEMP%\phpa14f.tmp
- <Текущая директория>\hide.exe
- <DRIVERS>\etc\host
Удаляет следующие файлы
- <Текущая директория>\hide.exe
Подменяет следующие файлы
- <Текущая директория>\hide.exe
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'di###-link.com':80
TCP
Запросы HTTP GET
- http://www.di###-link.com/PDF/thumbs/m1v3/cont/zombie.php?id#############################
- http://www.di###-link.com/PDF/thumbs/m1v3/cont/phar.php?id#
UDP
- DNS ASK di###-link.com
Другое
Создает и запускает на исполнение
- '<Текущая директория>\hide.exe' updatevideo.exe
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ghost /t REG_SZ /d %WINDIR%\updatevideo.exe /f
- '%WINDIR%\syswow64\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ghost /t REG_SZ /d %WINDIR%\updatevideo.exe /f
- '%WINDIR%\syswow64\cmd.exe' /c copy updatevideo.exe %WINDIR%\updatevideo.exe
- '%WINDIR%\syswow64\cmd.exe' /c hide.exe updatevideo.exe
- '%WINDIR%\syswow64\cmd.exe' /c attrib +r +h hide.exe
- '%WINDIR%\syswow64\attrib.exe' +r +h hide.exe
