Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- "%TEMP%\is-GD40N.tmp\Google chrome.exe" (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Tencent\QQBrowser\user_data\0\is-BM2SD.tmp
- %TEMP%\is-GD40N.tmp\is-06CRU.tmp
- %APPDATA%\Tencent\TencentTraveler\100\is-G5NA1.tmp
- %TEMP%\is-GD40N.tmp\Google chrome.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\Google%20chrome[1].exe
- %APPDATA%\SogouExplorer\is-KSG2M.tmp
- %TEMP%\is-GD40N.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-S7E4A.tmp\<Имя вируса>.tmp
- %PROGRAM_FILES%\SogouExplorer\StartPage\Selector\is-00I31.tmp
- %PROGRAM_FILES%\SogouExplorer\StartPage\Local\is-8J6D3.tmp
- %PROGRAM_FILES%\SogouExplorer\StartPage\Local\is-SD4KR.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\SogouExplorer\Config.xml
- %APPDATA%\Tencent\QQBrowser\user_data\0\Config.db
- %APPDATA%\Tencent\TencentTraveler\100\TtConf.dat
- %PROGRAM_FILES%\SogouExplorer\StartPage\Selector\index.html
- %PROGRAM_FILES%\SogouExplorer\StartPage\Local\index1.html
- %PROGRAM_FILES%\SogouExplorer\StartPage\Local\index2.html
Удаляет следующие файлы:
- %TEMP%\is-GD40N.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-S7E4A.tmp\<Имя вируса>.tmp
- %TEMP%\is-GD40N.tmp\home.html
- %TEMP%\is-GD40N.tmp\Google chrome.exe
Сетевая активность:
Подключается к:
- 'www.py##o.net':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.py##o.net/Google%20chrome.exe
UDP:
- DNS ASK www.py##o.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
