Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.dao666.com/index2.html?yyzwg
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\windows\privacie\index.dat
Сетевая активность
Подключается к
- 'da##66.com':80
- 'pe########e.radar.cloudflare.com':443
TCP
Запросы HTTP GET
- http://www.da##66.com/index2.html?yy###
- http://www.da##66.com/cdn-cgi/styles/errors.css
- http://www.da##66.com/cdn-cgi/images/external.png
Другие
- 'pe########e.radar.cloudflare.com':443
UDP
- DNS ASK da##66.com
- DNS ASK pe########e.radar.cloudflare.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: '%HOMEPATH%\Desktop'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C start /min iexplore http://www.dao666.com/index2.html?yyzwg' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C .\tool.cmd' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C .\fav\fav.cmd' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C .\runonce.cmd' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C .\360.cmd' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C .\cpa.cmd' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C del .\runonce.cmd' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C start /min iexplore http://www.dao666.com/index2.html?yyzwg
- '<SYSTEM32>\cmd.exe' /C .\tool.cmd
- '<SYSTEM32>\cmd.exe' /C .\fav\fav.cmd
- '<SYSTEM32>\cmd.exe' /C .\runonce.cmd
- '<SYSTEM32>\cmd.exe' /C .\360.cmd
- '<SYSTEM32>\cmd.exe' /C .\cpa.cmd
- '<SYSTEM32>\cmd.exe' /C del .\runonce.cmd
