Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Windows Event Tclnm] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Windows Event Tclnm] 'ImagePath' = '%ALLUSERSPROFILE%\sTyrzKcpl@12\mcPDgkRfv.exe -nb'
Создает следующие сервисы
- 'Windows Event Tclnm' %ALLUSERSPROFILE%\sTyrzKcpl@12\mcPDgkRfv.exe -nb
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\maldevacad.tmp
- %LOCALAPPDATA%\microsoft\internet explorer\6.d
- %LOCALAPPDATA%\microsoft\internet explorer\7.d
- %ALLUSERSPROFILE%\cnima.xml
- %ALLUSERSPROFILE%\broker.exe
- %ALLUSERSPROFILE%\duilib-1.dll
- %ALLUSERSPROFILE%\mzlib.dll
- %ALLUSERSPROFILE%\zlib.dll
- %ALLUSERSPROFILE%\saeyfqbob.exe
- %ALLUSERSPROFILE%\styrzkcpl@12\mcpdgkrfv.exe
- %ALLUSERSPROFILE%\styrzkcpl@12\duilib-1.dll
- %ALLUSERSPROFILE%\styrzkcpl@12\cnima.xml
Перемещает следующие файлы
- %ALLUSERSPROFILE%\mzlib.dll в %ALLUSERSPROFILE%\styrzkcpl@12\zlib.dll
Сетевая активность
Подключается к
- '45.##2.243.33':1536
- '38.##.122.163':5539
- '38.##.122.165':443
TCP
Запросы HTTP GET
- http://45.###.243.33:1536/kugou/6.d via 45.##2.243.33
- http://45.###.243.33:1536/iiiii/7.d via 45.##2.243.33
Другие
- '38.##.122.163':5539
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\saeyfqbob.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe' "tg://setlanguage?lang=classic-zh-cn" (со скрытым окном)
- '%ALLUSERSPROFILE%\saeyfqbob.exe' (со скрытым окном)
