Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\software\Wow6432Node\microsoft\windows\CurrentVersion\Run] 'Lshuai' = '<Полный путь к файлу>'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\vhdmp] 'ImagePath' = 'system32\DRIVERS\vhdmp.sys'
- [HKLM\System\CurrentControlSet\Services\Disk] 'Start' = '00000000'
Создает следующие сервисы
- 'vhdmp' system32\DRIVERS\vhdmp.sys
- 'disk' system32\DRIVERS\disk.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\c712b.tmp
- %TEMP%\c712a.tmp.vhd
- scsi#disk&ven_msft&prod_virtual_disk#2&1f4adffe&0&000001#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
- physicaldrive2
Сетевая активность
Подключается к
- 'rm###########m4z470wio.mysql.rds.aliyuncs.com':3306
TCP
Другие
- 'rm###########m4z470wio.mysql.rds.aliyuncs.com':3306
UDP
- DNS ASK rm###########m4z470wio.mysql.rds.aliyuncs.com
Другое
Ищет следующие окна
- ClassName: 'DINotifyWindowClass853' WindowName: 'DINotifyWindowName853'
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' stop ShellHWDetection (со скрытым окном)
- '%WINDIR%\syswow64\diskpart.exe' -s %TEMP%\c712b.tmp (со скрытым окном)
- '<SYSTEM32>\vds.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\newdev.dll,pDiDeviceInstallNotification \\.\pipe\PNP_Device_Install_Pipe_1.{a04ef739-66a5-4432-a7bb-35a83f32442e} "(null)"
- '<SYSTEM32>\dinotify.exe' pnpui.dll,SimplifiedDINotification
