Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'VMware' = '%ALLUSERSPROFILE%\lIDH9H\ozfiw1.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\downloads\bb.jpg
- %ALLUSERSPROFILE%\kernelquick.sys
- %ALLUSERSPROFILE%\lidh9h\ozfiw1.exe
- C:\users\public\downloads\qqgames.exe
- %ALLUSERSPROFILE%\lidh9h\app\gmodule-2.0.dll
- %ALLUSERSPROFILE%\lidh9h\app\gobject-2.0.dll
- %ALLUSERSPROFILE%\lidh9h\app\pcre.dll
- %ALLUSERSPROFILE%\lidh9h\app\glib-2.0.dll
- %ALLUSERSPROFILE%\lidh9h\app\vmtools.dll
- %ALLUSERSPROFILE%\lidh9h\app\vcruntime140.dll
- %ALLUSERSPROFILE%\lidh9h\app\vcruntime140_1.dll
- %ALLUSERSPROFILE%\lidh9h\app\feishu.exe
- %ALLUSERSPROFILE%\lidh9h\app\bb.jpg
- %ALLUSERSPROFILE%\lidh9h\app\intl.dll
Сетевая активность
Подключается к
- '80##.#elloqu.com':7777
- '8.###.199.119':80
TCP
Запросы HTTP GET
- http://8.###.199.119/regname.txt
- http://8.###.199.119/dll.txt
- http://8.###.199.119/wj/feishu.exe
- http://8.###.199.119/wj/vmtoolsd.exe
- http://8.###.199.119/wj/gmodule-2.0.dll
- http://8.###.199.119/wj/gobject-2.0.dll
- http://8.###.199.119/wj/pcre.dll
- http://8.###.199.119/wj/glib-2.0.dll
- http://8.###.199.119/wj/vmtools.dll
- http://8.###.199.119/wj/vcruntime140.dll
- http://8.###.199.119/wj/vcruntime140_1.dll
- http://8.###.199.119/wj/intl.dll
Другие
- '80##.#elloqu.com':7777
UDP
- DNS ASK 80##.#elloqu.com
