Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsNetDll' = 'rundll32.exe "%HOMEPATH%\Microsoft\WindowsNetDll.dll", Launch'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\calc.exe
- <SYSTEM32>\rundll32.exe "%HOMEPATH%\Microsoft\WindowsNetDll.dll", Launch
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Microsoft\WindowsNetDll.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'mi##.shuqin.in':61688
- 'pi#.#enetr.in':61688
- 'co##.qqyaya.in':61688
- 'st##.shuqin.in':61688
- 'at##.qqyaya.in':61688
UDP:
- DNS ASK mi##.shuqin.in
- DNS ASK pi#.#enetr.in
- DNS ASK co##.qqyaya.in
- DNS ASK st##.shuqin.in
- DNS ASK at##.qqyaya.in
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'lkdvcDHCEOTSLc1jEBaravrVO0!@##O0!@#AFAFO0!@#18' WindowName: 'CEOTSLcraAFAFAFEBFFECV1jO0'
- ClassName: 'fdkldefCECEOTSLa1j#18' WindowName: 'CEOTSL1jO0!ra@EBV0AFAF!@#O0!@#18b'
