Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '%ALLUSERSPROFILE%\DownloadSave\vmrftvv.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nscd8f1.tmp\system.dll
- <Текущая директория>\kuaibo2.exe
- <Текущая директория>\5015.exe
- %ALLUSERSPROFILE%\downloadsave\recordpath
- %ALLUSERSPROFILE%\downloadsave\vmrftvv.exe
- %TEMP%\protected.cpp
- %ALLUSERSPROFILE%\downloadsave\ vmrftvv.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\kuaibo2.exe
- <Текущая директория>\5015.exe
Удаляет следующие файлы
- %TEMP%\nscd8f1.tmp\system.dll
- <Текущая директория>\5015.exe
- %ALLUSERSPROFILE%\downloadsave\recordpath
Сетевая активность
Подключается к
- 'ba##u.com':80
TCP
Запросы HTTP GET
- http://www.ba##u.com/
UDP
- DNS ASK ba##u.com
- DNS ASK ro##.s.3322.net
- DNS ASK xt#.#.3322.net
- DNS ASK aa####.s.3322.net
- DNS ASK ry##o.com
Другое
Создает и запускает на исполнение
- '<Текущая директория>\kuaibo2.exe'
- '<Текущая директория>\5015.exe'
- '%ALLUSERSPROFILE%\downloadsave\vmrftvv.exe'
- '%ALLUSERSPROFILE%\downloadsave\ vmrftvv.exe'
