Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' stop sharedaccess
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: 'TXGuiFoundation' WindowName: '电脑管家'
- ClassName: 'TXGuiFoundation' WindowName: '电脑管家:开机时间'
- ClassName: 'TXGuiFoundation' WindowName: '小火箭通用加速'
- ClassName: 'TXGuiFoundation' WindowName: '电脑管家 - 软件管理'
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK c.###cn8.com
Другое:
Ищет следующие окна:
- ClassName: 'Syspager' WindowName: ''
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: 'NotifyIconOverflowWindow' WindowName: ''
- ClassName: 'ToolbarWindow32' WindowName: ''
- ClassName: '#32770 (对话框)' WindowName: 'KaKa Player'
- ClassName: 'BDMTips' WindowName: 'BDMTrayTipWnd'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'BDMSusFrame' WindowName: 'SusWnd'
