Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\gAssist.dat] 'debugger' = '%WINDIR%\twunk_32.exe'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\info.exe] 'debugger' = '%WINDIR%\twunk_32.exe'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ShowMSGex.exe] 'debugger' = '%WINDIR%\twunk_32.exe'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHOWSHOW.EXE] 'debugger' = '%WINDIR%\twunk_32.exe'
Изменения в файловой системе
Создает следующие файлы
- D:\nbmsclient\clienttool\svchost.exe
- D:\nbmsclient\clienttool\kpath.dll
- D:\nbmsclient\clienttool\gkpath.dll
- D:\nbmsclient\clienttool\iadconfig.ini
- %WINDIR%\syswow64\drivers\ntfsext.sys
- %WINDIR%\iadgame.log
- %WINDIR%\iad.ini
- %WINDIR%\syswow64\showmsgex.exe
- %WINDIR%\urlmatch.xml
- %WINDIR%\keys.xml
Сетевая активность
Подключается к
- '<LOCALNET>.16.77':80
UDP
- DNS ASK wd###.jiajiaee.cn
- DNS ASK do####l.jiajiaee.cn
- DNS ASK ws##.#iajiaee.cn
Другое
Создает и запускает на исполнение
- 'D:\nbmsclient\clienttool\svchost.exe'
