Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\kingsoftkonline\KINSTALLERS_40_892.exe /s
- <SYSTEM32>\KINSTALLERS_40_892.exe
- <SYSTEM32>\cfXX.exe
- %TEMP%\kingsoftkonline\KINSTALLERS_40_892.exe (загружен из сети Интернет)
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass' WindowName: ''
- ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
- ClassName: 'FilemonClass' WindowName: ''
- ClassName: 'pediy06' WindowName: ''
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\superec.ProcessMemory.sys
- %TEMP%\kingsoftkonline\KINSTALLERS_40_892.exe.tmp
- <SYSTEM32>\cfXX.exe
- <SYSTEM32>\KINSTALLERS_40_892.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\cfXX.exe
Сетевая активность:
Подключается к:
- 'cd###.www.duba.net':80
- 'bo.###a.net:8080':80
TCP:
Запросы HTTP GET:
- cd###.www.duba.net/duba/install/2011/ever/kavsetups_40_0.exe
- bo.###a.net:8080/pagetracer2/duba/__utm.gif?01#######################################################################################################################
UDP:
- DNS ASK cd###.www.duba.net
- DNS ASK bo.###a.net:8080
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '18467-41' WindowName: ''
