Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'dfg' = '%TEMP%\KinG.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{A44343E7-4393-7FBD-4876-FA67FDDD2CD8}] 'StubPath' = '%TEMP%\KinG.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\KinG.exe
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\______3.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\KinG.exe
- %TEMP%\______3.jpg
Сетевая активность:
Подключается к:
- '7o###.no-ip.biz':3460
UDP:
- DNS ASK 7o###.no-ip.biz
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
