Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'mysys' = '%ProgramFiles%\Outlook_Express\SOUNDMAN.EXE'
Создает или изменяет следующие файлы
- %WINDIR%\system.ini
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\dl_205446.exe
- %WINDIR%\10054.exe
- %ProgramFiles%\outlook_express\soundman.exe
- %ProgramFiles%\outlook_express\httpapi.dll
- %TEMP%\nsf787a.tmp\system.dll
- %WINDIR%\syswow64\com\1.2.8\wndhook.dll
- %WINDIR%\syswow64\com\config.cfg
- %WINDIR%\syswow64\somarshal.dat
- C:\ss2.txt
- %WINDIR%\syswow64\lokdkv.bat
- %WINDIR%\syswow64\klmkzkvxu.bat
- nul
Удаляет следующие файлы
- %TEMP%\nsf787a.tmp\system.dll
- %WINDIR%\dl_205446.exe
- %WINDIR%\syswow64\digzohvtct.bat
Перемещает следующие файлы
- %WINDIR%\syswow64\lokdkv.bat в %WINDIR%\syswow64\digzohvtct.bat
Сетевая активность
Подключается к
- 'cl.###system.com':80
TCP
Запросы HTTP GET
- http://cl.###system.com/cl.php?fi####################################################################
UDP
- DNS ASK ba###com.net.cn
- DNS ASK cl.###system.com
- DNS ASK r.###ntech.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\10054.exe'
- '%WINDIR%\dl_205446.exe'
- '%ProgramFiles%\outlook_express\soundman.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <SYSTEM32>\klmkzkvxu.bat (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' -n 3 127.0.0.1
