Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'GFIRestart32.exe' = '<Текущая директория>\Application Frame Ho.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsu21c3.tmp\system.dll
- <Текущая директория>\´©ô½»ðïß_åúῲéñ¯_ðâ°æ.exe
- <Текущая директория>\application frame ho.exe
- %TEMP%\iext1.fnr.bbs.125.la
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\´©ô½»ðïß_åúῲéñ¯_ðâ°æ.exe
- <Текущая директория>\application frame ho.exe
Удаляет следующие файлы
- %TEMP%\nsu21c3.tmp\system.dll
Сетевая активность
Подключается к
- 'ba##u.com':80
- '43.##6.173.167':6000
TCP
Другие
- '43.##6.173.167':6000
UDP
- DNS ASK ba##u.com
- DNS ASK cc####.f3322.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\´©ô½»ðïß_åúῲéñ¯_ðâ°æ.exe'
- '<Текущая директория>\application frame ho.exe'
