Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '%WINDIR%\8819665nu7grmvjrnt\Application FrameHost.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\client.exe
- %WINDIR%\8819665nu7grmvjrnt\application framehost.exe
- %WINDIR%\8819665nu7grmvjrnt\libcef.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\8819665nu7grmvjrnt\application framehost.exe
- %WINDIR%\8819665nu7grmvjrnt\libcef.dll
Сетевая активность
Подключается к
- '15#.#1.83.219':80
- 'ta##ao.com':80
- 'ta##ao.com':443
- 'qu##.suning.com':80
- '12#.#8.139.3':80
- '12#.#8.139.3':8080
- '4.##w.cn':80
TCP
Запросы HTTP GET
- http://15#.#1.83.219/Client.exe
- http://www.ta##ao.com/help/getip.php
- http://qu##.suning.com/getSysTime.do
- http://12#.#8.139.3/libcef.exe
- http://12#.#8.139.3/libcef.dll
- http://4.##w.cn/api/ip/myip
Другие
- 'ta##ao.com':443
- '12#.#8.139.3':8080
UDP
- DNS ASK ta##ao.com
- DNS ASK qu##.suning.com
- DNS ASK 4.##w.cn
Другое
Ищет следующие окна
- ClassName: 'CabinetWClass' WindowName: '8819665nu7grmvjrnt'
- ClassName: 'CabinetWClass' WindowName: '%WINDIR%\8819665nu7grmvjrnt\'
- ClassName: 'CabinetWClass' WindowName: '%WINDIR%\8819665nu7grmvjrnt'
- ClassName: '' WindowName: ''
- ClassName: 'DirectUIHWND' WindowName: ''
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- 'C:\users\public\documents\client.exe'
- '%WINDIR%\8819665nu7grmvjrnt\application framehost.exe'
