Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\software\Wow6432Node\microsoft\windows\CurrentVersion\Policies\Explorer\run] 'SOUNDMAX' = '%WINDIR%\2.com'
Изменения в файловой системе
Создает следующие файлы
- D:\test.txt
- %WINDIR%\hi.txt
- %WINDIR%\bak.reg
- %WINDIR%\regdit.exe
- %WINDIR%\svchost.ini
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\svchost.ini
- %WINDIR%\2.com
Удаляет следующие файлы
- %WINDIR%\bak.reg
- %WINDIR%\regdit.exe
Перемещает следующие файлы
- %WINDIR%\svchost.ini в %WINDIR%\2.com
Сетевая активность
Подключается к
- 'bl##.#ina.com.cn':80
- 'bl##.#ina.com.cn':443
- 'oc##.dcocsp.cn':80
TCP
Запросы HTTP GET
- http://bl##.#ina.com.cn/s/blog_4e345ce70100f121.html
- http://oc##.dcocsp.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAoEcNCWvIoSyJCm34Ju7Es%3D
- http://oc##.dcocsp.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSmVYFXwi%2FRq9wx3PKhB8lC%2FFYUyAQUkZ9eMRWuEJ%2BtYMH3wcyqSDQvDCYCEAHxC4vZhWFDeHnV3b9N7uw%3D
Другие
- 'bl##.#ina.com.cn':443
UDP
- DNS ASK bl##.#ina.com.cn
- DNS ASK oc##.dcocsp.cn
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\regdit.exe' /s %WINDIR%\bak.reg
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del %WINDIR%\bak.reg (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del %WINDIR%\regdit.exe (со скрытым окном)
- '%WINDIR%\regdit.exe' /s %WINDIR%\bak.reg (со скрытым окном)
