Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\Donner\Shell\Open\command] '' = '"<Полный путь к вирусу>" "%1"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\ЧўІбКҐіЗµзУ°ПВФШ.exe' <Полный путь к вирусу>
- '<Текущая директория>\DlUpd.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\Alexa.dll
- %TEMP%\ЧўІбКҐіЗµзУ°ПВФШ.exe
- %HOMEPATH%\Desktop\圣城电影下载.lnk
- <Текущая директория>\LLCore.dll
- <Текущая директория>\DlUpd.exe
- <Текущая директория>\LLCExe.exe
Сетевая активность:
Подключается к:
- 'li##.uuu.net':80
- 'li##.##inacentos.com':80
- 'li##.#abidou.org':80
- 'sc#.uuu.net':80
- 'li##.##uliangshenqi.com':80
- 'li##.#lsqusa.com':80
TCP:
Запросы HTTP GET:
- li##.uuu.net/ServerList.ashx
- li##.##inacentos.com/ServerList.ashx
- li##.#abidou.org/ServerList.ashx
- sc#.uuu.net/ClientTime.ashx
- li##.##uliangshenqi.com/ServerList.ashx
- li##.#lsqusa.com/ServerList.ashx
Запросы HTTP POST:
- sc#.uuu.net/CheckVersion.ashx
UDP:
- DNS ASK li##.uuu.net
- DNS ASK li##.##inacentos.com
- DNS ASK li##.#abidou.org
- DNS ASK sc#.uuu.net
- DNS ASK li##.##uliangshenqi.com
- DNS ASK li##.#lsqusa.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
