Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\hp120.exe
- <SYSTEM32>\sup.exe
- <SYSTEM32>\BBPlayer.exe
- <SYSTEM32>\BBplay\bb.exe
- <SYSTEM32>\f.exe
Запускает на исполнение:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.mo###sina.cn/xiaoliu.htm
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://61.###.62.83:1111/down.php?un#################
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\hp120.exe
- <SYSTEM32>\kp.exe
- <SYSTEM32>\redame.txt
- <SYSTEM32>\sup.exe
- <SYSTEM32>\f.exe
- <SYSTEM32>\king.exe
- <SYSTEM32>\hp.vbs
- <SYSTEM32>\homep.exe
- <SYSTEM32>\Internet Explorer.lnk
- <SYSTEM32>\Internet Explorer.url
- <SYSTEM32>\hp.bat
- <SYSTEM32>\BBPlayer.exe
- %HOMEPATH%\Desktop\№ъНвУ°Фє.lnk
- %HOMEPATH%\Start Menu\№ъНвУ°Фє.lnk
- <SYSTEM32>\BBplay\bb.exe
- %TEMP%\nsl2.tmp
- %TEMP%\nsw3.tmp\Banner.dll
- %HOMEPATH%\Start Menu\Programs\№ъНвУ°Фє.lnk
- %HOMEPATH%\Start Menu\Programs\ИЛМеТХКхРґХж.lnk
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\ИЛМеТХКхРґХж.lnk
- %HOMEPATH%\Start Menu\ИЛМеТХКхРґХж.lnk
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\№ъНвУ°Фє.lnk
- %HOMEPATH%\Desktop\ИЛМеТХКхРґХж.lnk
Удаляет следующие файлы:
- %TEMP%\nsw3.tmp\Banner.dll
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
