Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.lpr\shell\open\command] '' = ''
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\d3d9caps.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\br[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\wpad[1].dat
- <Текущая директория>\Log.txt
- <LS_APPDATA>\Ahri.tw\<Имя вируса>.exe_Url_vhjf5iwd5kfr4inxqdesdml4dzx0tzde\1.34.0.0\52i3jss0.newcfg
- <SYSTEM32>\d3d9caps.dat
Удаляет следующие файлы:
- <SYSTEM32>\d3d9caps.dat
Перемещает следующие файлы:
- <SYSTEM32>\d3d9caps.tmp в <SYSTEM32>\d3d9caps.dat
- <LS_APPDATA>\Ahri.tw\<Имя вируса>.exe_Url_vhjf5iwd5kfr4inxqdesdml4dzx0tzde\1.34.0.0\52i3jss0.newcfg в <LS_APPDATA>\Ahri.tw\<Имя вируса>.exe_Url_vhjf5iwd5kfr4inxqdesdml4dzx0tzde\1.34.0.0\user.config
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'ga######.na.leagueoflegends.com':80
- 'localhost':1035
- 'ah#i.tw':80
TCP:
Запросы HTTP GET:
- ga######.na.leagueoflegends.com/assets/js/na.js
- wp#d/wpad.dat
- ah#i.tw/en/News/br.php
UDP:
- DNS ASK ga######.na.leagueoflegends.com
- DNS ASK dd#####.leagueoflegends.com
- DNS ASK wp#d
- DNS ASK ah#i.tw
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
