Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс ¼îáêìøé«h.exe, модуль unknown
Изменения в файловой системе
Создает следующие файлы
- C:\mirplugin\ayndeeaacclpecfkcfgpkc\ywsh7501.dat
- C:\mirplugin\ayndeeaacclpecfkcfgpkc\ywsh7501.key
- %TEMP%\¼îáêìøé«h.exe
Самоперемещается
- из <Полный путь к файлу> в <Текущая директория>\¼îáêìøé«hfwi.exe
Сетевая активность
Подключается к
- 'mi####.andylab.cn':80
- 'ba##u.com':80
TCP
Запросы HTTP GET
- http://www.ba##u.com/dow.txt
- http://mi####.andylab.cn/%C2%B1%C2%B1%C2%BE%C2%A9%C3%8A%C2%B1%C2%BC%C3%A4.txt
UDP
- DNS ASK mi####.andylab.cn
- DNS ASK ba##u.com
Другое
Создает и запускает на исполнение
- '%TEMP%\¼îáêìøé«h.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ping 1.#.1.1 -n 1 -w 3000 & del "<Текущая директория>\ÐÑÐÐÐÐÐÐÐÐÐ�Ðâ°Ð«HFWI.exe" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 1.#.1.1 -n 1 -w 3000
