Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '%TEMP%\Syslemdwetl.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\lpath.ini
- %TEMP%\2l.dat
- %TEMP%\3l.dat
- %TEMP%\4l.dat
- %TEMP%\syslamwindwsa.exe
- %TEMP%\syslemdwetl.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\2l.dat
- %TEMP%\3l.dat
- %TEMP%\4l.dat
- %TEMP%\syslamwindwsa.exe
- %TEMP%\syslemdwetl.exe
- %TEMP%\lpath.ini
- <Полный путь к файлу>
Сетевая активность
Подключается к
- 'aq.#q.com':80
- 'aq.#q.com':443
- '80.##0.113.62':80
- 'oc##.#igicert.cn':80
TCP
Запросы HTTP GET
- http://aq.#q.com/cn2/unionverify/unionverify_jump?ju#########################
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?e0##############
- http://oc##.#igicert.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2Fh0Ztl%2Bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2F6%2BrkS7QYXjzkCEATBuWAZH8q%2B3NqTAabNeMM%3D
- http://oc##.#igicert.cn/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRdfbJlK8FvT8EKTy%2FQWk9HlJQmegQUKyMWgRtHiYqQeuzoMtRsjnL5ziUCEAg5io5wOn3sywSjmhWRyEg%3D
- http://aq.#q.com/cn2/unionverify/unionverify_jump?ju############################
Другие
- 'aq.#q.com':443
UDP
- DNS ASK i2.##etuku.com
- DNS ASK aq.#q.com
- DNS ASK oc##.#igicert.cn
Другое
Создает и запускает на исполнение
- '%TEMP%\syslemdwetl.exe'
