Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\locationnotifications.exe
- %WINDIR%\syswow64\mrinfo.exe
- %WINDIR%\syswow64\openfiles.exe
- %WINDIR%\syswow64\rmactivate_ssp_isv.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\locationnotifications.exe
- %WINDIR%\syswow64\mrinfo.exe
- %WINDIR%\syswow64\openfiles.exe
Изменения в файловой системе
Создает следующие файлы
- D:\nnc
- D:\yyds\config.ini
Удаляет следующие файлы
- D:\nnc
Сетевая активность
Подключается к
- 'u.#.qq.com':443
- 'ca####s.digicert.cn':80
- 'vv.##deo.qq.com':443
- 'qi#####i.baidubce.com':80
- 'vv.##deo.qq.com':80
- 'qi##.baidu.com':80
- '11#.#4.35.32':80
TCP
Запросы HTTP GET
- http://ca####s.digicert.cn/DigiCertGlobalRootG2.crt
- http://qi#####i.baidubce.com/ip/geo/v1/district?ip#
- http://vv.##deo.qq.com/checktime
- http://qi#####i.baidubce.com/ip/geo/v1/district?ip#############
- http://qi##.baidu.com/ip/local/geo/v1/district
Запросы HTTP POST
Другие
- 'u.#.qq.com':443
- 'vv.##deo.qq.com':443
UDP
- DNS ASK u.#.qq.com
- DNS ASK ca####s.digicert.cn
- DNS ASK 20##.ip138.com
- DNS ASK vv.##deo.qq.com
- DNS ASK qi#####i.baidubce.com
- DNS ASK qi##.baidu.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\locationnotifications.exe'
- '%WINDIR%\syswow64\mrinfo.exe'
- '%WINDIR%\syswow64\rmactivate_ssp_isv.exe'
