Техническая информация
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- nul
- <Текущая директория>\clinkapi.dll
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'gi##e.com':443
- 'se######frontend.fivem.net':443
- 'sh#####tatus.mzkb.top':443
- 'zs#.#ivemcn.cc':443
- 'r2.###emanage.com':443
- '19#.#58.198.23':80
TCP
Запросы HTTP GET
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?96##############
Другие
- 'gi##e.com':443
- 'se######frontend.fivem.net':443
- 'sh#####tatus.mzkb.top':443
- 'zs#.#ivemcn.cc':443
- 'r2.###emanage.com':443
UDP
- DNS ASK gi##e.com
- DNS ASK se######frontend.fivem.net
- DNS ASK sh#####tatus.mzkb.top
- DNS ASK zs#.#ivemcn.cc
- DNS ASK r2.###emanage.com
Другое
Ищет следующие окна
- ClassName: 'ID' WindowName: ''
- ClassName: 'idaabortnowalivenowokay' WindowName: ''
- ClassName: 'Rock Debugger' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ipconfig /flushdns (со скрытым окном)
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\cmd.exe' /c nslookup zsc.fivemcn.cc >nul 2>&1 (со скрытым окном)
- '<SYSTEM32>\nslookup.exe' zsc.fivemcn.cc
