Техническая информация
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass' WindowName: ''
- ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
- ClassName: 'FilemonClass' WindowName: ''
- ClassName: 'pediy06' WindowName: ''
Сетевая активность:
Подключается к:
- 'www.ms##18.com':80
- 'www.cf###nlian.com':80
- 'localhost':1037
- 'i.##hu.com':80
TCP:
Запросы HTTP GET:
- www.ms##18.com/shen1.html
- www.cf###nlian.com/t.html
- i.##hu.com/p/=v2=eMNxcjNATzczTNM0MzMuY29t/blog/view/209528807.htm
- www.ms##18.com/shen.html
UDP:
- DNS ASK www.cf###nlian.com
- DNS ASK cf##m.com
- DNS ASK i.##hu.com
- DNS ASK www.ms##18.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
