Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ReRun' = 'C:\Temp\ReRun.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\temp\rerun.exe
- C:\temp\adls.exe
- %HOMEPATH%\desktop\t启动器.exe
- <Текущая директория>\启动器.exe
- <Текущая директория>\设置器.exe
- C:\temp\tempfa2.ini
- <Текущая директория>\pic\infofn.a
- C:\temp\infofn.a
Самоудаляется.
Сетевая активность
Подключается к
- 'fn############95395.cos.ap-guangzhou.myqcloud.com':443
- 'ba##u.com':80
- '12#.#21.100.161':1250
TCP
Запросы HTTP GET
- http://www.ba##u.com/
- http://12#.###.100.161:1250/HttpApiUt.ashx?ac##################################################################################################################### via 12#.#21.100.161
- http://12#.###.100.161:1250/HttpApiUt.ashx?ac#################################################################################################################### via 12#.#21.100.161
Другие
- 'fn############95395.cos.ap-guangzhou.myqcloud.com':443
UDP
- DNS ASK fn############95395.cos.ap-guangzhou.myqcloud.com
- DNS ASK ba##u.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: '提示'
Создает и запускает на исполнение
- 'C:\temp\rerun.exe'
