Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\328CSn8Up] 'ImagePath' = '%WINDIR%\328CSn8Up.sys'
Создает следующие сервисы
- '328CSn8Up' %WINDIR%\328CSn8Up.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\328csn8up.sys
- %WINDIR%\temp\udd685.tmp
- %WINDIR%\temp\udde62.tmp
- %WINDIR%\temp\udd1640.tmp
- %WINDIR%\temp\udd1e1d.tmp
- %WINDIR%\temp\udd25fb.tmp
- %WINDIR%\temp\udd2dd8.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd685.tmp
- %WINDIR%\temp\udde62.tmp
- %WINDIR%\temp\udd1640.tmp
- %WINDIR%\temp\udd1e1d.tmp
- %WINDIR%\temp\udd25fb.tmp
- %WINDIR%\temp\udd2dd8.tmp
Сетевая активность
Подключается к
- 'si###torage.com':80
- 'bl##.#ina.com.cn':80
- 'py#####56.blog.163.com':80
TCP
Запросы HTTP GET
- http://si###torage.com/yun2016/Atshz.txt
- http://bl##.#ina.com.cn/s/blog_1520508500102wnfh.html
- http://py#####56.blog.163.com/blog/static/263923002201662871155573
- http://bl##.163.com/login.do?er#####
- http://si###torage.com/yun2016/B64d.rar
UDP
- DNS ASK si###torage.com
- DNS ASK bl##.#ina.com.cn
- DNS ASK py#####56.blog.163.com
- DNS ASK bl##.163.com
