Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\aspnet_states] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\DSLserverorm] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\100.exe'
- '<SYSTEM32>\aaaaaa.exe'
- '%TEMP%\vip.exe'
- '<SYSTEM32>\qqeuqi.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\qqeuqi.exe
- <SYSTEM32>\aaaaaa.exe
- %TEMP%\vip.exe
- %TEMP%\100.exe
Перемещает следующие файлы:
- %TEMP%\100.exe в %TEMP%\SOFTWARE.LOG
Сетевая активность:
Подключается к:
- 'co####.api.css361.com':80
- 'ge###.api520.com':1001
- 'cc.##i520.com':1002
TCP:
Запросы HTTP GET:
- co####.api.css361.com/baohe/wb/update.txt
UDP:
- DNS ASK co####.api.css361.com
- DNS ASK ge###.api520.com
- DNS ASK cc.##i520.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
