Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\kingsoft\KSWebShield.exe -start -install
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 5 127.0.0.1
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.66##.net/?uk####
- <SYSTEM32>\cmd.exe /c %TEMP%\lnk.bat
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\ТБИЛЕ®РФНш.url
- %PROGRAM_FILES%\ico\Taobao.ico
- %HOMEPATH%\Desktop\ТБИЛЕ®РФНш.url
- %HOMEPATH%\Favorites\ФЪПЯµзУ°.url
- %PROGRAM_FILES%\ico\Beauty.ico
- %HOMEPATH%\Desktop\МФ±¦№єОп.url
- %HOMEPATH%\Desktop\ГАЕ®КУЖµ.url
- %HOMEPATH%\Favorites\ГАЕ®КУЖµ.url
- %PROGRAM_FILES%\ico\Video.ico
- %PROGRAM_FILES%\kingsoft\KWSSVC.log
- %HOMEPATH%\Favorites\МФ±¦№єОп.url
- %PROGRAM_FILES%\kingsoft\kwssp.dll
- %TEMP%\lnk.bat
- %PROGRAM_FILES%\kingsoft\KSWebShield.dll
- %ALLUSERSPROFILE%\Desktopkws\kws.ini
- %PROGRAM_FILES%\kingsoft\KSWebShield.exe
- %PROGRAM_FILES%\ico\Manhua.ico
- %PROGRAM_FILES%\ico\Film.ico
- %HOMEPATH%\Desktop\ФЪПЯµзУ°.url
- %HOMEPATH%\Favorites\ФЪПЯВю».url
- %PROGRAM_FILES%\kingsoft\kwsui.dll
- %HOMEPATH%\Desktop\ФЪПЯВю».url
Сетевая активность:
UDP:
- DNS ASK tt.#kad.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
