Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'confcfg3xx' = 'rundll32.exe "<LS_APPDATA>\SyncGLlib\confcfg3xx.dll",LibWIhid rasPadClock'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "<LS_APPDATA>\SyncGLlib\confcfg3xx.dll",LibWIhid rasPadClock
- <SYSTEM32>\rundll32.exe ""%TEMP%\dbMouseUI.dll"", LibWIhid nscrtVdm
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Protect\S-1-5-21-1275210071-117609710-1801674531-500\8ad191ca-d6fa-49ae-b8bd-53eebf9086df
- %HOMEPATH%\My Documents\SDExplorer Logs\Exceptions.txt
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-1275210071-117609710-1801674531-500\4d39d9eca3756170c0d5a27dd471e8e2_ffcb838e-6d3b-4e44-a259-8ac8f5c94c4f
- <LS_APPDATA>\SyncGLlib\confcfg3xx.dll
- %TEMP%\dbMouseUI.dll
- %TEMP%\is-FCBTU.tmp\SetupDLL.dll
- %TEMP%\nsb2.tmp\NSISdl.dll
- %TEMP%\sdexplorer-advanced-3.0.0.186.exe
- %TEMP%\is-FNQSF.tmp\sdexplorer-advanced-3.0.0.186.tmp
- %TEMP%\sdexplorer-advanced-3.0.0.186.log
- %TEMP%\is-FCBTU.tmp\_isetup\_shfoldr.dll
Удаляет следующие файлы:
- %TEMP%\nsb2.tmp\NSISdl.dll
- %TEMP%\dbMouseUI.dll
Сетевая активность:
Подключается к:
- 'so##data.us':80
TCP:
Запросы HTTP GET:
- so##data.us/version.php?ve#######################################
UDP:
- DNS ASK so##data.us
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'i18AuthenticationServices' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
