Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'qdatem' = 'C:\Users\Public\Documents\Applicationpdqev.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\documents\dfeg.dll
- C:\users\public\documents\immb.dll
- %TEMP%\<Имя файла>.txt
- C:\users\public\documents\sjsw.log
- C:\users\public\documents\sjwback.dat
- <PATH_SAMPLE>.txt
- %TEMP%\attm.dll
Самоперемещается
- из <Полный путь к файлу> в C:\users\public\documents\applicationpdqev.exe
Сетевая активность
Подключается к
- '45.##9.53.81':80
- '36##c.top':3368
TCP
Запросы HTTP GET
- http://45.##9.53.81/0012/zy.txt
- http://45.##9.53.81/0012/cdyxf.png
Другие
- '36##c.top':3368
UDP
- DNS ASK 36##c.top
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' %TEMP%\<Имя файла>.txt
