Техническая информация
Вредоносные функции
Патчит код
в динамической библиотеке
- Процесс utrrqs.exe, модуль GDI32.dll
- Процесс utrrqs.exe, модуль USER32.dll
- Процесс utrrqs.exe, модуль apphelp.dll
- Процесс utrrqs.exe, модуль win32u.dll
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\skinh_el.dll
- <Текущая директория>\works.bat
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\skinh_el.dll
Удаляет файлы, которые сам же создал
- <Текущая директория>\works.bat
Сетевая активность
Подключается к
- 'hr##gs.com':80
- 'localhost':80
TCP
Запросы HTTP GET
- http://www.hr##gs.com/tj
- http://ww#.#rcygs.com/
UDP
- DNS ASK hr##gs.com
- DNS ASK ww#.#rcygs.com
- DNS ASK if####.ip138.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\works.bat (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' config workstation
- '%WINDIR%\syswow64\find.exe' "╣б╫≈╒╛╙≥"
- '%WINDIR%\syswow64\find.exe' /V "DNS"
- '%WINDIR%\syswow64\net1.exe' config workstation
