Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
Изменения в файловой системе
Создает следующие файлы
- C:\mfmnds\key.dll
- C:\lsdms\key.dll
- C:\lsdms\yxdml.dll
- C:\lsdms\yxdwjm.dll
- C:\êý¾ýsd3s\ãû³æs.txt
- C:\mbfs\key.dll
- C:\mfmnds\bjs.dll
- %HOMEPATH%\documents\bjs.dll
- C:\bjs.dll
- %WINDIR%\bjs.dll
- %WINDIR%\ddzndtts\bjs.dll
Присваивает атрибут 'скрытый' для следующих файлов
- C:\mfmnds\bjs.dll
- %HOMEPATH%\documents\bjs.dll
- C:\bjs.dll
- %WINDIR%\bjs.dll
- %WINDIR%\ddzndtts\bjs.dll
Удаляет следующие файлы
- C:\êý¾ýsd3s\ãû³æs.txt
Сетевая активность
Подключается к
- 'sh##o.im':443
- 'ip.#60.cn':80
TCP
Запросы HTTP GET
- http://ip.#60.cn/IPShare/info
UDP
- DNS ASK sh##o.im
- DNS ASK ip.#60.cn
Другое
Ищет следующие окна
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c cacls.exe "C:\mfmnds" /e /t /p everyone:F' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c cacls.exe "C:\mfmnds" /e /t /p everyone:F
- '%WINDIR%\syswow64\cacls.exe' "C:\mfmnds" /e /t /p everyone:F
