Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '486a9' = '%APPDATA%\486a9\d53d87ad48.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\486a9\d53d87ad48.exe
Сетевая активность:
Подключается к:
- 'it###ft.asia':80
- 'pc.###-to-all.com':80
- 'lo#######corts-agency.org.uk':80
- 'da###sground.cz':80
- 'uz###kirala.com':80
- 'ap###tudes.fr':80
- 'if###ndow.co.uk':80
- 'pr#####disneyvilla.com':80
- 'th######shirtsonline.com':80
TCP:
Запросы HTTP POST:
- http://pr#####disneyvilla.com/QXeHOy.php?a=###############
UDP:
- DNS ASK it###ft.asia
- DNS ASK pc.###-to-all.com
- DNS ASK lo#######corts-agency.org.uk
- DNS ASK da###sground.cz
- DNS ASK uz###kirala.com
- DNS ASK ap###tudes.fr
- DNS ASK if###ndow.co.uk
- DNS ASK pr#####disneyvilla.com
- DNS ASK th######shirtsonline.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
