Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\SuperKiller.exe -ANTI
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://vo#.#pstone.com"
- <SYSTEM32>\reg.exe delete "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\SuperKiller.exe
- <SYSTEM32>\oemlogo.bmp
- <SYSTEM32>\signa.dat
- <SYSTEM32>\clean.dat
- <SYSTEM32>\evName.dat
- <SYSTEM32>\vName.dat
- %TEMP%\sup6C6C.tmp
- <DRIVERS>\360Killer.sys
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\fixtool[1].ini
- <SYSTEM32>\xavengine.dll
- %TEMP%\Newkernel32.dll
- <SYSTEM32>\antihostlib.dat
- <LS_APPDATA>\evName.dat
- <LS_APPDATA>\oemlogo.bmp
- <LS_APPDATA>\clean.dat
- <LS_APPDATA>\antifilelib.dat
- <LS_APPDATA>\antihostlib.dat
- <LS_APPDATA>\signa.dat
- %TEMP%\bt8471.bat
- <SYSTEM32>\antifilelib.dat
- <LS_APPDATA>\xavengine.dll
- <LS_APPDATA>\SuperKiller.exe
- <LS_APPDATA>\vName.dat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt8471.bat
Удаляет следующие файлы:
- <LS_APPDATA>\SuperKiller.exe
- <LS_APPDATA>\signa.dat
- <LS_APPDATA>\oemlogo.bmp
- <DRIVERS>\360Killer.sys
- <LS_APPDATA>\xavengine.dll
- <LS_APPDATA>\vName.dat
- <LS_APPDATA>\antifilelib.dat
- %TEMP%\bt8471.bat
- %TEMP%\Newkernel32.dll
- <LS_APPDATA>\evName.dat
- <LS_APPDATA>\clean.dat
- <LS_APPDATA>\antihostlib.dat
Сетевая активность:
Подключается к:
- 'd.###safe.com':80
- 'up####.360safe.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- d.###safe.com/?fi#######################################################
- up####.360safe.com/safe/fixtool.ini
UDP:
- DNS ASK d.###safe.com
- DNS ASK up####.360safe.com
