Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\l73gH7Ii] 'ImagePath' = '<DRIVERS>\l73gH7Ii.sys'
Создает следующие сервисы
- 'l73gH7Ii' <DRIVERS>\l73gH7Ii.sys
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\gzip.dll
- %WINDIR%\windowssystemupdate05.log
- <DRIVERS>\l73gh7ii.sys
Самоудаляется.
Сетевая активность
Подключается к
- '59##88.vip':61000
- '12#.#57.249.28':60012
- 'su###xxed.asia':36281
- '11#.#78.125.54':36283
- 'vv.##deo.qq.com':443
- 'ca####s.digicert.cn':80
TCP
Запросы HTTP GET
- http://ca####s.digicert.cn/DigiCertGlobalRootG2.crt
Другие
- '59##88.vip':61000
- 'do##.591888.vip':61000
- '12#.#57.249.28':60012
- 'su###xxed.asia':36281
- 'vv.##deo.qq.com':443
UDP
- DNS ASK 59##88.vip
- DNS ASK do##.591888.vip
- DNS ASK su###xxed.asia
- DNS ASK vv.##deo.qq.com
- DNS ASK ca####s.digicert.cn
- '255.255.255.255':4012
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del <Полный путь к файлу> >> NUL (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ProgramFiles(x86)%\internet exp...
