Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'svchost' = 'C:\Users\user\AppData\Roaming\Microsoft\svchost.exe'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [\REGISTRY\USER\S-1-5-21-1238866942-1249195528-555854008-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [\REGISTRY\USER\S-1-5-21-1238866942-1249195528-555854008-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyServer' = 'http=127.0.0.1:50370'
Изменения в файловой системе
Создает следующие файлы
- D:\users\user\appdata\roaming\microsoft\svchost.exe
- D:\windows\system32\config\system
- D:\windows\system32\config\system.log1
- D:\windows\system32\winevt\logs\system.evtx
- D:\windows\system32\winevt\logs\security.evtx
- D:\system volume information\syscache.hve
- D:\system volume information\syscache.hve.log1
- D:\windows\system32\winevt\logs\microsoft-windows-networkprofile%4operational.evtx
- D:\users\user\appdata\local\microsoft\windows\usrclass.dat
- D:\users\user\appdata\roaming\microsoft\stor.cfg
- D:\users\user\ntuser.dat
- D:\users\user\ntuser.dat.log1
- D:\windows\system32\config\software
- D:\windows\system32\config\software.log1
- D:\users\user\appdata\roaming\mozilla\firefox\profiles\0j9e9tku.default-release\prefs.js
- D:\users\user\appdata\local\microsoft\windows\usrclass.dat.log1
- D:\windows\system32\winevt\logs\application.evtx
Сетевая активность
Подключается к
- 'google.com':80
TCP
Запросы HTTP GET
- http://www.google.com/
UDP
- DNS ASK fa###ohiv.cn
- DNS ASK pr#####yourpc-11.com
- DNS ASK 1.####.fajujohiv.cn
- DNS ASK 8.####.fajujohiv.cn
- DNS ASK google.com
