Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{X77B5L6V-0K0A-2Q8K-7Y8F-2R0H0S3G8Q4Q}] 'StubPath' = '<SYSTEM32>\ForDown.Exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\fordown.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'lo##huai.cn':80
TCP
Запросы HTTP GET
- http://www.lo###uai.cn:80/ForDown.Txt via lo##huai.cn
UDP
- DNS ASK lo##huai.cn
Другое
Ищет следующие окна
- ClassName: 'Notepad' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\fordown.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' ÐÐÐÐ
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>" (со скрытым окном)
