Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'T7XB3V9H8D2806' = '%ALLUSERSPROFILE%\06FTHV00662N2BMDRE0D13028\T7XB3V9H8D2806.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e_n60005\krnln.fnr
- %ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\t7xb3v9h8d2806.exe
- %ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\t7xb3v9h8d2806.data
- %ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\nw_elf.dll
- %ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\heisikong.key
- %TEMP%\qu988r99de\277q0r1pt1111e4fj5h5gd9b229.data
- %TEMP%\qu988r99de\nw_elf.dll
- %TEMP%\qu988r99de\277q0r1pt1111e4fj5h5gd9b229.exe
- %TEMP%\qu988r99de\heisikong.key
- %TEMP%\qu988r99de\hz6fd0uzw214v0005drl4drl9.exe
- %TEMP%\qu988r99de\hz6fd0uzw214v0005drl4drl9.data
- %ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\t7xb3v9h8d2806.mac
Удаляет следующие файлы
- %ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\heisikong.key
- %TEMP%\qu988r99de\heisikong.key
Подменяет следующие файлы
- %TEMP%\qu988r99de\heisikong.key
Сетевая активность
Подключается к
- '15#.#26.173.161':8080
- '15#.#26.173.161':12345
TCP
Запросы HTTP GET
- http://15#.###.173.161:8080/5.3.0.0/client.dll via 15#.#26.173.161
Другие
- '15#.#26.173.161':12345
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\06fthv00662n2bmdre0d13028\t7xb3v9h8d2806.exe'
- '%TEMP%\qu988r99de\277q0r1pt1111e4fj5h5gd9b229.exe'
- '%TEMP%\qu988r99de\hz6fd0uzw214v0005drl4drl9.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ver' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ver
