Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'coaster' = '%WINDIR%\svchost.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\plugin.exe
- %WINDIR%\svchost.exe
Перемещает следующие файлы
- %WINDIR%\syswow64\plugin.exe в %WINDIR%\syswow64\917129.bak
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'xj######.e2.luyouxia.net':32439
- '17#.#4.207.39':8001
TCP
Другие
- 'xj######.e2.luyouxia.net':32439
UDP
- DNS ASK xj######.e2.luyouxia.net
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\plugin.exe'
- '%WINDIR%\syswow64\plugin.exe' ' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
