Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\kr76NeN77P] 'ImagePath' = '<SYSTEM32>\kr76NeN77P.sys'
Создает следующие сервисы
- 'kr76NeN77P' <SYSTEM32>\kr76NeN77P.sys
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\dfload.exe
- <SYSTEM32>\kr76nen77p.sys
- %WINDIR%\temp\udd9d96.tmp
- <Текущая директория>\kss.ini
- %WINDIR%\temp\udda573.tmp
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %WINDIR%\temp\uddad51.tmp
- %WINDIR%\temp\uddb51e.tmp
- %WINDIR%\temp\uddbcec.tmp
- %WINDIR%\temp\uddc4ca.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\dfload.exe
Удаляет следующие файлы
- %WINDIR%\temp\udd9d96.tmp
- %WINDIR%\temp\udda573.tmp
- %WINDIR%\temp\uddad51.tmp
- %WINDIR%\temp\uddb51e.tmp
- %WINDIR%\temp\uddbcec.tmp
- %WINDIR%\temp\uddc4ca.tmp
Сетевая активность
Подключается к
- 'da###ngwg.com':80
TCP
Запросы HTTP GET
- http://www.da###ngwg.com/config.txt
UDP
- DNS ASK da###ngwg.com
- DNS ASK da####g.886fz.com
- DNS ASK ws#####.gfhost.supidc.net
- DNS ASK pi###ifz.com
- DNS ASK fk.###fengwg.com
- DNS ASK fk#.##ofengwg.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\dfload.exe'
