Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\jhasjwlayz01] 'ImagePath' = '%TEMP%\48106E3C.res'
Создает следующие сервисы
- 'jhasjwlayz01' %TEMP%\48106E3C.res
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\xilehlp.dll
- %WINDIR%\syswow64\xulehlp.dll
- %TEMP%\48106e3c.res
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012024120920241210\index.dat
Удаляет следующие файлы
- %TEMP%\48106e3c.res
Сетевая активность
Подключается к
- 'yy.##owan.com':80
- 'pe########e.radar.cloudflare.com':443
- 'yy.com':80
- 'yy.com':443
TCP
Запросы HTTP GET
- http://yy.##owan.com/go.html
- http://yy.##owan.com/cdn-cgi/styles/main.css
- http://yy.com/
Другие
- 'pe########e.radar.cloudflare.com':443
- 'yy.com':443
UDP
- DNS ASK yy.##owan.com
- DNS ASK yy.com
- DNS ASK pe########e.radar.cloudflare.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
