Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\tttt7.ini
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\l7mss38968848.exe
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\data\esp-b.dat
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\lcfgcq\data\高级定制qq4680617.pak
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\lcfgcq\map\mafa.map
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\map\0.map
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\map\1.map
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\map\2.map
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\map\3.map
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\wav\sound.lst
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\libssl-3.dll
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\libcrypto-3.dll
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\d3dx81ab.dll
- D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\data\newopui.pak
- %HOMEPATH%\desktop\176ÐÐ ˆÐÑЧÐÑÐÒÐâÐÒ[d1.8].lnk
Самоудаляется.
Сетевая активность
Подключается к
- 'fu.##gcq.com':9800
- 'localhost':80
- 'he##.#hendexia.asia':24356
- 'fc########zzs.cn-hangzhou.fcapp.run':443
- 'cr#.#gdlq.com':443
TCP
Запросы HTTP GET
- http://he##.###ndexia.asia:24356/%C3%BD%CB%86%C2%B3%C3%87%C2%B8%C2%B4%C2%B9%C3%85a1.8.exe
Другие
- 'fu.##gcq.com':9800
- 'fc########zzs.cn-hangzhou.fcapp.run':443
- 'cr#.#gdlq.com':443
UDP
- DNS ASK zh#.#oscq.com
- DNS ASK fu.##gcq.com
- DNS ASK he##.#hendexia.asia
- DNS ASK cr#.#gdlq.com
- DNS ASK fc########zzs.cn-hangzhou.fcapp.run
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- 'D:\ÐÐ ˆ-ÐÑЧ-ÐÂÐÑ-ÐÑЧ\l7mss38968848.exe' 0|4176|<Полный путь к файлу>
