Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Îļþ.exe' = '<Текущая директория>\Îļþ.exe'
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\jedata.dll
- <Текущая директория>\椷ô.she
- <Текущая директория>\îä¼þ.exe
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012024090320240904\index.dat
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\jedata.dll
- <Текущая директория>\椷ô.she
Сетевая активность
Подключается к
- 'eb###.3g.qq.com':80
- '<LOCALNET>.31.4':2018
TCP
Запросы HTTP GET
- http://eb###.3g.qq.com/?in##############
UDP
- DNS ASK eb###.3g.qq.com
- DNS ASK xj##sc.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\îä¼þ.exe'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Текущая директория>\îä¼þ.ex...
