Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Windows Event Tclam] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Windows Event Tclam] 'ImagePath' = '%ALLUSERSPROFILE%\ARPvUWDHA@12\fKUUsDGDt.exe -nb'
Создает следующие сервисы
- 'Windows Event Tclam' %ALLUSERSPROFILE%\ARPvUWDHA@12\fKUUsDGDt.exe -nb
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\maldevacad.tmp
- %LOCALAPPDATA%\microsoft\internet explorer\6.d
- %LOCALAPPDATA%\microsoft\internet explorer\7.d
- %ALLUSERSPROFILE%\wmaer\cnima.xml
- %ALLUSERSPROFILE%\cnima.xml
- %ALLUSERSPROFILE%\wmaer\broker.exe
- %ALLUSERSPROFILE%\wmaer\duilib-1.dll
- %ALLUSERSPROFILE%\wmaer\mzlib.dll
- %ALLUSERSPROFILE%\wmaer\zlib.dll
- %ALLUSERSPROFILE%\wmaer\casekqerl.exe
- %ALLUSERSPROFILE%\broker.exe
- %ALLUSERSPROFILE%\duilib-1.dll
- %ALLUSERSPROFILE%\mzlib.dll
- %ALLUSERSPROFILE%\zlib.dll
- %ALLUSERSPROFILE%\arpvuwdha@12\fkuusdgdt.exe
- %ALLUSERSPROFILE%\arpvuwdha@12\duilib-1.dll
- %ALLUSERSPROFILE%\arpvuwdha@12\cnima.xml
- %ALLUSERSPROFILE%\sys.key
Перемещает следующие файлы
- %ALLUSERSPROFILE%\mzlib.dll в %ALLUSERSPROFILE%\arpvuwdha@12\zlib.dll
Сетевая активность
Подключается к
- '45.##2.243.33':1536
- '38.##.126.91':5538
TCP
Запросы HTTP GET
- http://45.###.243.33:1536/ttkugou/6.d via 45.##2.243.33
- http://45.###.243.33:1536/iii/7.d via 45.##2.243.33
Другие
- '38.##.126.91':5538
Другое
Ищет следующие окна
- ClassName: 'CTXOPConntion_Class' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\wmaer\casekqerl.exe'
Запускает на исполнение
- '%ALLUSERSPROFILE%\wmaer\casekqerl.exe' (со скрытым окном)
