Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\6d62.tmp
- %TEMP%\6d92.tmp
- %TEMP%\6dd1.tmp
Удаляет следующие файлы
- %TEMP%\6d62.tmp
- %TEMP%\6d92.tmp
- %TEMP%\6dd1.tmp
Сетевая активность
Подключается к
- '1.#.1.1':111
- '43.#28.7.89':8080
- 'sa######.##s-accelerate.aliyuncs.com':80
- '11#.#88.246.38':8888
- '20##.#slvshi.net':80
TCP
Запросы HTTP GET
- http://sa######.##s-accelerate.aliyuncs.com/AAAA69B84FFAD1C90DC97D/off.txt
- http://20##.#slvshi.net/AAAA69B84FFAD1C90DC97D/off.txt
UDP
- DNS ASK du#.###hasdfesdclub.xyz
- DNS ASK du#.####asdfesdtoday.club
- DNS ASK 20##.6988mm.com
- DNS ASK du#.#988cq.com
- DNS ASK sa######.##s-accelerate.aliyuncs.com
- DNS ASK 20##.#slvshi.net
- DNS ASK du##.3988cq.com
- DNS ASK 20##.3988cq.com
- 'localhost':64478
- 'localhost':50830
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set allprofiles state off' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set allprofiles state off
- '%WINDIR%\syswow64\netsh.exe' advfirewall set allprofiles state off
