Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\Application Data\WD\KSWebShield.exe -start -install
Запускает на исполнение:
- %WINDIR%\sleep.exe 500
- <SYSTEM32>\cmd.exe /c """%TEMP%\temg_tmp.bat"" "
- <SYSTEM32>\cmd.exe /c ""%ALLUSERSPROFILE%\Application Data\wd\u.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Desktop\Internat Exlporer.url2
- %ALLUSERSPROFILE%\Desktop\МФ±¦№єОп.url2
- %WINDIR%\tbgw.ico
- %TEMP%\nse3.tmp\AccessControl.dll
- %ALLUSERSPROFILE%\Application Data\kingsoft\kws\kws.ini
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0J2LM5OP\wpad[1].dat
- %TEMP%\temg_tmp.bat
- %ALLUSERSPROFILE%\Application Data\WD\KWSSVC.log
- %ALLUSERSPROFILE%\Application Data\WD\KSWebShield.exe
- %ALLUSERSPROFILE%\Application Data\WD\kswbc.dll
- %TEMP%\nsk2.tmp
- %TEMP%\nse3.tmp\FindProcDLL.dll
- %ALLUSERSPROFILE%\Application Data\WD\kwsui.dll
- %ALLUSERSPROFILE%\Application Data\WD\u.bat
- %ALLUSERSPROFILE%\Application Data\WD\kswebshield.dll
- %ALLUSERSPROFILE%\Application Data\WD\kwssp.dll
Удаляет следующие файлы:
- %TEMP%\nse3.tmp\FindProcDLL.dll
- %TEMP%\nse3.tmp\AccessControl.dll
Сетевая активность:
Подключается к:
- 'wpad.localdomain':80
- 'if#.#uba.net':80
TCP:
Запросы HTTP GET:
- wpad.localdomain/wpad.dat
- if#.#uba.net/urlrcv.php?mc#####################################################
UDP:
- DNS ASK wpad.localdomain
- DNS ASK if#.#uba.net
Другое:
Ищет следующие окна:
- ClassName: 'kws::OSUCWindowClass' WindowName: ''
