Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'VVQN' = '%WINDIR%\SysWOW64\KBDGRLNDC.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\kbdgrlndc.exe
- %TEMP%\~unins6000.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\kbdgrlndc.exe
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность
Подключается к
- 'im###hut4.cn':80
TCP
Запросы HTTP GET
- http://www.im###hut4.cn/update/utu.dat
UDP
- DNS ASK ch####ebspeed.net
- DNS ASK im###hut4.cn
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\kbdgrlndc.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~unins6000.bat "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns (со скрытым окном)
- '%WINDIR%\syswow64\kbdgrlndc.exe' (со скрытым окном)
