Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\isocket.dll
- %WINDIR%\fonts\qq644904333.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\fonts\qq644904333.dll
Удаляет следующие файлы
- <Текущая директория>\isocket.dll
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'ba##u.com':80
- '10#.#06.189.145':10015
TCP
Другие
- '10#.#06.189.145':10015
UDP
- DNS ASK ba##u.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls <DRIVERS>\etc\hosts /g everyone:f Users:f (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo y"
- '%WINDIR%\syswow64\cacls.exe' <DRIVERS>\etc\hosts /g everyone:f Users:f
- '%WINDIR%\syswow64\attrib.exe' -r -a -s -h <DRIVERS>\etc\hosts (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' +r +a +s +h <DRIVERS>\etc\hosts (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls <DRIVERS>\etc\hosts /g Users:r (со скрытым окном)
- '%WINDIR%\syswow64\cacls.exe' <DRIVERS>\etc\hosts /g Users:r
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls <DRIVERS>\etc\hosts /g everyone:f (со скрытым окном)
- '%WINDIR%\syswow64\cacls.exe' <DRIVERS>\etc\hosts /g everyone:f
- '%WINDIR%\syswow64\cmd.exe' /c echo y|cacls <DRIVERS>\etc\hosts /g everyone:r (со скрытым окном)
- '%WINDIR%\syswow64\cacls.exe' <DRIVERS>\etc\hosts /g everyone:r
