Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\com\sgjc.exe'
- '<SYSTEM32>\gth29501.exe' %WINDIR%\fonts\ComRes.dll ins <SYSTEM32>\com\sgjc.exe
- '<SYSTEM32>\apiload.exe'
- '<SYSTEM32>\apxload.exe'
- '<SYSTEM32>\apxload.exe' 123
Запускает на исполнение:
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\PING.EXE' 127.1 -n 8
- '<SYSTEM32>\PING.EXE' 127.1 -n 3
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\fonts\ComRes.dll
Завершает или пытается завершить
следующие пользовательские процессы:
- elementclient.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Fonts\ComRes.dll
- C:\2.bat
- <SYSTEM32>\mmsfc1.dll
- <SYSTEM32>\gth29501.exe
- %WINDIR%\Fonts\gth29501.fon
- %WINDIR%\Fonts\gth29501.ttf
- <SYSTEM32>\apiload.exe
- <SYSTEM32>\apxload.exe
- <SYSTEM32>\com\sgjc.exe
- C:\3.bat
- \Device\HarddiskVolume3\IO.SYS
Присваивает атрибут 'скрытый' для следующих файлов:
- \Device\HarddiskVolume3\IO.SYS
Удаляет следующие файлы:
- <SYSTEM32>\apiload.exe
- <SYSTEM32>\apxload.exe
- <SYSTEM32>\com\sgjc.exe
- %WINDIR%\Temp\~DF501AEB4D716E5AA1.TMP
- %TEMP%\~DF2B2E94E36304710C.TMP
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK www.fg##chr.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
