Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'IEClick' = 'C:\\Windows\\SysWOW64\\58-9F-B2-30-BB-07\\FlowBrower.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\set.ini
- %WINDIR%\syswow64\58-9f-b2-30-bb-07\flowbrower_4.exe
- %WINDIR%\syswow64\58-9f-b2-30-bb-07\flowbrower.exe
- <Полный путь к файлу>.bat
Перемещает следующие файлы
- %WINDIR%\syswow64\58-9f-b2-30-bb-07\flowbrower_4.exe в %WINDIR%\syswow64\58-9f-b2-30-bb-07\flowbrower.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'dh##0.com':80
- '45##.com':80
- 'cg#####mvnevcxzh.app':443
TCP
Запросы HTTP GET
- http://www.45##.com/fanhui/live.html?v=###############
Другие
- 'cg#####mvnevcxzh.app':443
UDP
- DNS ASK dh##0.com
- DNS ASK 45##.com
- DNS ASK cg#####mvnevcxzh.app
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\58-9f-b2-30-bb-07\flowbrower.exe'
- '%WINDIR%\syswow64\58-9f-b2-30-bb-07\flowbrower.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""<Полный путь к файлу>.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Полный путь к файлу>.bat" "
