Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\sohu.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\sohu.exe
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023111820231119\index.dat
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Удаляет следующие файлы
- <DRIVERS>\etc\hosts
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'tt##6.com':80
- 'it##.taobao.com':80
- 'ab####.cccpan.com':80
- 'hu###omains.com':443
- 'it##.taobao.com':443
TCP
Запросы HTTP GET
- http://www.tt##6.com/
- http://www.tt##6.com/thread.php?fi####
- http://it##.taobao.com/item.htm?sp####################################
- http://dn#####an.cccpan.com/
- http://ab####.cccpan.com/
Другие
- 'hu###omains.com':443
- 'it##.taobao.com':443
UDP
- DNS ASK tt##6.com
- DNS ASK dn#####an.cccpan.com
- DNS ASK ab####.cccpan.com
- DNS ASK it##.taobao.com
- DNS ASK hu###omains.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\sohu.exe'
