Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\linux.scr'
- '%WINDIR%\linux.scr' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\delay.vbs"
- '<SYSTEM32>\cmd.exe' /c Del.bat
Завершает или пытается завершить
следующие пользовательские процессы:
- 360tray.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\Del.bat
- %TEMP%\delay.vbs
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\linux[1].scr
- %WINDIR%\linux.scr
Удаляет следующие файлы:
- %TEMP%\delay.vbs
Самоудаляется.
Сетевая активность:
Подключается к:
- 'xx#.#ipi8.cn':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- xx#.#ipi8.cn/linux.scr
UDP:
- DNS ASK xx#.#ipi8.cn
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'baiduan.exe'
- ClassName: '(null)' WindowName: 'qqpcrtp.exe'
- ClassName: '(null)' WindowName: '360Safe.exe'
- ClassName: '(null)' WindowName: '360tray.exe'
- ClassName: '(null)' WindowName: '360SD.exe'
