Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath '<Текущая директория>\'
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\congthanhxuapc.com.lnk
- <Текущая директория>\host.ini.lock
- <Текущая директория>\host.ini.gq4408
- <Текущая директория>\gamemanifest.xml
- <Текущая директория>\temp\.ftpquota
- <Текущая директория>\temp\configautoupdate.ini
- <Текущая директория>\temp\add.bat
- <Текущая директория>\add.bat
- <Текущая директория>\temp\404.html
- <Текущая директория>\temp\502.html
- <Текущая директория>\temp\client.dll
- <Текущая директория>\temp\config.dat
- <Текущая директория>\temp\config.exe
- <Текущая директория>\temp\config.ini
- <Текущая директория>\temp\config_backup.ini
- <Текущая директория>\temp\configrunauto.ini
- <Текущая директория>\temp\dietvirus.rar
- <Текущая директория>\temp\engine.dll
- <Текущая директория>\temp\error_log
- <Текущая директория>\temp\filtertext.dll
- <Текущая директория>\temp\game.exe
- <Текущая директория>\temp\jxreplay.dll
- <Текущая директория>\temp\lualibdll.dll
- <Текущая директория>\temp\manhinhlon.bat
- <Текущая директория>\temp\mfc80.dll
- <Текущая директория>\temp\microsoft.vc80.crt.manifest
- <Текущая директория>\temp\microsoft.vc80.mfc.manifest
- <Текущая директория>\temp\msvcm80.dll
- <Текущая директория>\temp\msvcp80.dll
- <Текущая директория>\temp\msvcp100.dll
- <Текущая директория>\temp\msvcp100d.dll
- <Текущая директория>\temp\msvcp120.dll
- <Текущая директория>\temp\msvcp120d.dll
- <Текущая директория>\temp\msvcr80.dll
- <Текущая директория>\temp\msvcr100.dll
- <Текущая директория>\temp\msvcr100d.dll
- <Текущая директория>\temp\msvcr120.dll
- <Текущая директория>\temp\msvcr120d.dll
- <Текущая директория>\temp\package.ini
- <Текущая директория>\temp\package1.ini
- <Текущая директория>\temp\rainbow.dll
- <Текущая директория>\temp\represent2.dll
- <Текущая директория>\temp\represent3.dll
- <Текущая директория>\temp\runauto.exe
- <Текущая директория>\temp\update.xml
- <Текущая директория>\temp\version.ini
- <Текущая директория>\temp\version.xml
- <Текущая директория>\temp\vltk.ico
- <Текущая директория>\temp\vn.fon
- <Текущая директория>\temp\zlib.dll
- <Текущая директория>\temp\package_1024.ini
- <Текущая директория>\temp\fix-vao-game.bat
- <Текущая директория>\temp\fprotectclient.dll
- <Текущая директория>\temp\gameprotect.sys
- <Текущая директория>\temp\guards.dll
- <Текущая директория>\temp\pak50.dll
- <Текущая директория>\temp\tattuongluawin.zip
- <Текущая директория>\temp\unpak50.dll
- <Текущая директория>\temp\antigame.ini
- <Текущая директория>\temp\antivolam.ini
- <Текущая директория>\temp\autoupdate.zip
- <Текущая директория>\temp\autoupdate.exe
- <Текущая директория>\host.ini.hp4408
- <Текущая директория>\host.ini.hp3808
Удаляет файлы, которые сам же создал
- <Текущая директория>\host.ini.lock
- <Текущая директория>\gamemanifest.xml
- <Текущая директория>\add.bat
- <Текущая директория>\config_backup.ini
Перемещает следующие файлы
- <Текущая директория>\host.ini.gq4408 в <Текущая директория>\host.ini
- <Текущая директория>\temp\.ftpquota в <Текущая директория>\.ftpquota
- <Текущая директория>\temp\404.html в <Текущая директория>\404.html
- <Текущая директория>\temp\502.html в <Текущая директория>\502.html
- <Текущая директория>\temp\antigame.ini в <Текущая директория>\antigame.ini
- <Текущая директория>\temp\antivolam.ini в <Текущая директория>\antivolam.ini
- <Текущая директория>\temp\autoupdate.exe в <Текущая директория>\autoupdate.exe
- <Текущая директория>\temp\autoupdate.zip в <Текущая директория>\autoupdate.zip
- <Текущая директория>\temp\client.dll в <Текущая директория>\client.dll
- <Текущая директория>\temp\config.dat в <Текущая директория>\config.dat
- <Текущая директория>\temp\config.exe в <Текущая директория>\config.exe
- <Текущая директория>\temp\config.ini в <Текущая директория>\config.ini
- <Текущая директория>\temp\config_backup.ini в <Текущая директория>\config_backup.ini
- <Текущая директория>\temp\configautoupdate.ini в <Текущая директория>\configautoupdate.ini
- <Текущая директория>\temp\configrunauto.ini в <Текущая директория>\configrunauto.ini
- <Текущая директория>\temp\dietvirus.rar в <Текущая директория>\dietvirus.rar
- <Текущая директория>\temp\engine.dll в <Текущая директория>\engine.dll
- <Текущая директория>\temp\error_log в <Текущая директория>\error_log
- <Текущая директория>\temp\filtertext.dll в <Текущая директория>\filtertext.dll
- <Текущая директория>\temp\fix-vao-game.bat в <Текущая директория>\fix-vao-game.bat
- <Текущая директория>\temp\fprotectclient.dll в <Текущая директория>\fprotectclient.dll
- <Текущая директория>\temp\game.exe в <Текущая директория>\game.exe
- <Текущая директория>\temp\gameprotect.sys в <Текущая директория>\gameprotect.sys
- <Текущая директория>\temp\guards.dll в <Текущая директория>\guards.dll
- <Текущая директория>\temp\jxreplay.dll в <Текущая директория>\jxreplay.dll
- <Текущая директория>\temp\lualibdll.dll в <Текущая директория>\lualibdll.dll
- <Текущая директория>\temp\manhinhlon.bat в <Текущая директория>\manhinhlon.bat
- <Текущая директория>\temp\mfc80.dll в <Текущая директория>\mfc80.dll
- <Текущая директория>\temp\microsoft.vc80.crt.manifest в <Текущая директория>\microsoft.vc80.crt.manifest
- <Текущая директория>\temp\microsoft.vc80.mfc.manifest в <Текущая директория>\microsoft.vc80.mfc.manifest
- <Текущая директория>\temp\msvcm80.dll в <Текущая директория>\msvcm80.dll
- <Текущая директория>\temp\msvcp100.dll в <Текущая директория>\msvcp100.dll
- <Текущая директория>\temp\msvcp100d.dll в <Текущая директория>\msvcp100d.dll
- <Текущая директория>\temp\msvcp120.dll в <Текущая директория>\msvcp120.dll
- <Текущая директория>\temp\msvcp120d.dll в <Текущая директория>\msvcp120d.dll
- <Текущая директория>\temp\msvcp80.dll в <Текущая директория>\msvcp80.dll
- <Текущая директория>\temp\msvcr100.dll в <Текущая директория>\msvcr100.dll
- <Текущая директория>\temp\msvcr100d.dll в <Текущая директория>\msvcr100d.dll
- <Текущая директория>\temp\msvcr120.dll в <Текущая директория>\msvcr120.dll
- <Текущая директория>\temp\msvcr120d.dll в <Текущая директория>\msvcr120d.dll
- <Текущая директория>\temp\msvcr80.dll в <Текущая директория>\msvcr80.dll
- <Текущая директория>\temp\package.ini в <Текущая директория>\package.ini
- <Текущая директория>\temp\package1.ini в <Текущая директория>\package1.ini
- <Текущая директория>\temp\package_1024.ini в <Текущая директория>\package_1024.ini
- <Текущая директория>\temp\pak50.dll в <Текущая директория>\pak50.dll
- <Текущая директория>\temp\rainbow.dll в <Текущая директория>\rainbow.dll
- <Текущая директория>\temp\represent2.dll в <Текущая директория>\represent2.dll
- <Текущая директория>\temp\represent3.dll в <Текущая директория>\represent3.dll
- <Текущая директория>\temp\runauto.exe в <Текущая директория>\runauto.exe
- <Текущая директория>\temp\tattuongluawin.zip в <Текущая директория>\tattuongluawin.zip
- <Текущая директория>\temp\unpak50.dll в <Текущая директория>\unpak50.dll
- <Текущая директория>\temp\update.xml в <Текущая директория>\update.xml
- <Текущая директория>\temp\version.ini в <Текущая директория>\version.ini
- <Текущая директория>\temp\version.xml в <Текущая директория>\version.xml
- <Текущая директория>\temp\vltk.ico в <Текущая директория>\vltk.ico
- <Текущая директория>\temp\vn.fon в <Текущая директория>\vn.fon
- <Текущая директория>\temp\zlib.dll в <Текущая директория>\zlib.dll
- <Текущая директория>\host.ini.hp4408 в <Текущая директория>\host.ini
Подменяет следующие файлы
- <Текущая директория>\host.ini.lock
- <Текущая директория>\add.bat
- <Текущая директория>\host.ini.hp4408
- <Текущая директория>\config_backup.ini
- <Текущая директория>\host.ini
- <Текущая директория>\gamemanifest.xml
- <Текущая директория>\temp\.ftpquota
- <Текущая директория>\temp\add.bat
- <Текущая директория>\temp\config_backup.ini
Сетевая активность
Подключается к
- 'up####.#ongthanhxuapc.com':80
- 'co####anhxuapc.com':443
- 'st####.##oudflareinsights.com':443
TCP
Запросы HTTP GET
Другие
- 'co####anhxuapc.com':443
- 'st####.##oudflareinsights.com':443
UDP
- DNS ASK up####.#ongthanhxuapc.com
- DNS ASK co####anhxuapc.com
- DNS ASK st####.##oudflareinsights.com
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C:/uizkpuwe/add.bat (со скрытым окном)
