Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'REGISTRY' = '<LS_APPDATA>\pulaosugiingat.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <LS_APPDATA>\chynbfhtvvatng.exe "<LS_APPDATA>\pulaosugiingat.exe"
- <LS_APPDATA>\pulaosugiingat.exe
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\pulaosugiingat.rng
- <LS_APPDATA>\chynbfhtvvatng.exe
- <LS_APPDATA>\pulaosugiingat.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <LS_APPDATA>\chynbfhtvvatng.exe
- <LS_APPDATA>\pulaosugiingat.exe
Сетевая активность:
Подключается к:
- 'su###ulos.com':80
- 'sl###zincur.com':80
- 'pu###edos.com':80
TCP:
Запросы HTTP GET:
- su###ulos.com/forum/search.php
- sl###zincur.com/forum/search.php
- pu###edos.com/forum/search.php
UDP:
- DNS ASK su###ulos.com
- DNS ASK sl###zincur.com
- DNS ASK pu###edos.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
