Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'tnp6hvg7.exe' = '%APPDATA%\tnp6hvg7.exe'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\25n89v6dxchrghc4.dat
- %APPDATA%\tnp6hvg7.exe
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012025020920250210\index.dat
Сетевая активность
Подключается к
- 'to###.#p2location.com':80
- 'to###.#p2location.com':443
TCP
Запросы HTTP GET
- http://to###.#p2location.com/ib2/
Другие
- 'to###.#p2location.com':443
UDP
- DNS ASK cn####ayghmf.com
- DNS ASK to###.#p2location.com
- DNS ASK np####ibfocp.com
- DNS ASK gz####botlbg.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\tnp6hvg7.exe'
