Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'NiushangzhashuWaLaiDa' = '%ProgramFiles%\MSXML 3.99\Ryoeingcoms.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\worng.txt
- %ProgramFiles%\msxml 3.99\ryoeingcoms.exe
- %APPDATA%\cdb79abb.bat
Сетевая активность
Подключается к
- '10#.#0.220.34':3130
- 'ne#.#fs555.top':10086
TCP
Другие
- 'ne#.#fs555.top':10086
UDP
- DNS ASK ne#.#fs555.top
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\CDB79ABB.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %APPDATA%\CDB79ABB.bat
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\find.exe' /i "<Имя файла>.exe"
