Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\WinDivert1.4] 'ImagePath' = '%TEMP%\7y4ch9x4g9\WinDivert64.sys'
Создает следующие сервисы
- 'WinDivert1.4' %TEMP%\7y4ch9x4g9\WinDivert64.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\b4j5eawpb8.txt
- %TEMP%\7y4ch9x4g9\windivert32.dll
- %APPDATA%\kmg\kmgdbfilequeuesqlite3\clientstatisticsv5-journal
- %TEMP%\7y4ch9x4g9\windivert64.sys
- %APPDATA%\kmg\fh97xm8zmf\c987266b12640d4b45d638ced6dde110
- %APPDATA%\kmg\kmgdbfilequeuesqlite3\clientstatisticsv5
- %APPDATA%\kmg\kmgdbfilequeuesqlite3\clientstatisticsv5-shm
- %APPDATA%\kmg\kmgdbfilequeuesqlite3\clientstatisticsv5-wal
Удаляет файлы, которые сам же создал
- %APPDATA%\kmg\kmgdbfilequeuesqlite3\clientstatisticsv5-journal
Сетевая активность
Подключается к
- '10#.#99.156.110':20027
- '11#.#.94.191':20027
- '10#.#96.114.54':20027
- '45.#3.60.15':20027
- '10#.#55.14.55':20027
- '10#.#97.43.186':20027
- '13#.#11.50.202':20005
- '45.##.23.144':20027
- '13#.#11.50.202':20025
- 'localhost':40001
- 'ge####web-link2.com':443
TCP
Запросы HTTP POST
- http://13#.###.50.202:20005/ClientApi via 13#.#11.50.202
Другие
- '10#.#55.14.55':20027
- '13#.#11.50.202':20025
- '10#.#96.114.54':20027
- 'ge####web-link2.com':443
- '10#.#97.43.186':20027
UDP
- DNS ASK yo###meweb.com
- DNS ASK ge####xlinks.com
- DNS ASK fi####eblinks3.com
- DNS ASK 8v##.com
- DNS ASK ge####web-link2.com
- DNS ASK xs###all.com
