Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Internet Explorer\Main] 'Window Title' = '650down.com ×îºÃµÄÈí¼þÏÂÔØ»ùµØ£¡'
- [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main] 'Window Title' = '650down.com Öйú×î´óÈí¼þÏÂÔØÕ¾'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- C:\svcho.exe
- C:\·éò×vpn.exe
- %TEMP%\~2e21.bat
- %TEMP%\defopen.reg
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~2e21.bat
Удаляет следующие файлы
- %TEMP%\defopen.reg
- %TEMP%\~2e21.bat
Сетевая активность
Подключается к
- 'fe###soft.cn':80
TCP
Запросы HTTP GET
- http://www.fe###soft.cn/vpn/fun.asp
UDP
- DNS ASK fe###soft.cn
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- 'C:\svcho.exe'
- 'C:\·éò×vpn.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~2E21.bat "C:\svcho.exe" (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /S "%LOCALAPPDATA%\Temp.\DefOpen.reg"
