Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\mtstocom.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\web\656961666166617c.tmp
- %WINDIR%\syswow64\kernel64.dll
- %ProgramFiles(x86)%\tencent\qq\776f686578\ok.txt
- %ProgramFiles(x86)%\tencent\qq\776f686578\afkvyss1.ini
- %ProgramFiles(x86)%\tencent\qq\776f686578\afkvy.zz
- %ProgramFiles(x86)%\tencent\qq\776f686578\afkvymain.ini
- %ProgramFiles(x86)%\tencent\qq\776f686578\cwu.shz
- %ProgramFiles(x86)%\tencent\qq\776f686578\afkvys1.ini
- %ProgramFiles(x86)%\tencent\qq\776f686578\776f686578123.imd
- %ProgramFiles(x86)%\tencent\qq\776f686578\$$.tmp
- %ProgramFiles(x86)%\tencent\qq\776f686578\s2.txt
- %ProgramFiles(x86)%\tencent\qq\776f686578\s1.txt
- %ProgramFiles(x86)%\tencent\qq\776f686578\s.txt
- %CommonProgramFiles%\microsoft\76f6865787\76f6865787.dat
Удаляет следующие файлы
- %WINDIR%\web\656961666166617c.tmp
- %ProgramFiles(x86)%\tencent\qq\776f686578\776f686578123.imd
Подменяет следующие файлы
- %ProgramFiles(x86)%\tencent\qq\776f686578\776f686578123.imd
- %ProgramFiles(x86)%\tencent\qq\776f686578\$$.tmp
Сетевая активность
Подключается к
- '<LOCALNET>.8.8':88
- 'bj##lt.com':80
TCP
Запросы HTTP GET
- http://www.lf##w.com/
UDP
- DNS ASK lf##w.com
- DNS ASK bj##lt.com
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\tencent\qq\776f686578\afkvy.zz' -z 423B5D51736E6673606C2147686D64722129793937285D55646F62646F755D70705D363637473739373436395D4256542F52495B
- '%ProgramFiles(x86)%\tencent\qq\776f686578\afkvy.zz' -z 423B5D51736E6673606C2147686D64722129793937285D55646F62646F755D70705D363637473739373436395D4256542F52495B' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mtstocom.exe' -EMBEDDING 423B5D51736E6673606C2147686D64722129793937285D55646F62646F755D70705D363637473739373436395D4256542F52495B 0
- '%WINDIR%\syswow64\efsui.exe' -sys 423B5D51736E6673606C2147686D64722129793937285D55646F62646F755D70705D363637473739373436395D4256542F52495B 0
