Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'bdcalendar167406' = '<Полный путь к вирусу> /autorun'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\getC[1].65GB&g=C_0-D_11000000000000000010-M_0-V_88E6680F-T_20131227104309453&tn=devtn&uinf=0-0-0&fi=1&fa=1&bhaswp=0&bwpautorun=0&bshow=1&client_version=1_0_0_158
- %TEMP%\bdwpflash.cab
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\CAOPEBSH.fcgi
- %APPDATA%\baidu\bdcalendar\bdcalendar.swf
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\bdwpflash[1].cab
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\getC[1].65GB&g=C_0-D_11000000000000000010-M_0-V_88E6680F-T_20131227104309453&tn=devtn&uinf=0-0-0&fi=1&fa=1&bhaswp=0&bwpautorun=0&bshow=1&client_version=1_0_0_158
- <Текущая директория>\inst.exe
- %TEMP%\citylist
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\city_info[1].html
Удаляет следующие файлы:
- %TEMP%\bdwpflash.cab
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/baiduwp/wallpaper_static/bdwpflash.cab
- 12#.#25.114.144/wallpaper_static/city_info.html
UDP:
- DNS ASK up####.client.baidu.com
- DNS ASK im###.#izhi.baidu.com
- DNS ASK bi###.baidu.com
Другое:
Ищет следующие окна:
- ClassName: 'SHELLDLL_DefView' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'ProgMan' WindowName: '(null)'
