Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\hainer.exe
- C:\233.233
- %WINDIR%\nikodd.dll
Присваивает атрибут 'скрытый' для следующих файлов
- C:\233.233
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\nfgvegiqi.exe
Сетевая активность
Подключается к
- 'lt###.ljzw.vip':8777
- 'xi###p.ljzw.vip':4101
TCP
Запросы HTTP GET
- http://lt###.ljzw.vip:8777/YWFhYXNzc3MwMDk4NzU0 via lt###.ljzw.vip
Другие
- 'lt###.ljzw.vip':4101
UDP
- DNS ASK lt###.ljzw.vip
- DNS ASK xi###p.ljzw.vip
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'Progman' WindowName: 'Program Manager'
Создает и запускает на исполнение
- '%WINDIR%\hainer.exe' <Полный путь к файлу>
