Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'INET' = '<SYSTEM32>\INETSRV\inetsync.exe'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DE60714F-AC17-427e-861A-FD60CBDF119A}] 'Exec' = 'http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\mstmp\Install\Setup.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\inetsrv\inetsync.exe
- C:\adunwise.exe
- <SYSTEM32>\Icon\ebay1.ico
- <SYSTEM32>\INotes\UIInfo.exe
- <SYSTEM32>\Icon\ebay.ico
- %HOMEPATH%\Start Menu\ТЧИ¤№єОп.lnk
- %HOMEPATH%\Start Menu\Programs\ТЧИ¤№єОп.lnk
- %HOMEPATH%\Desktop\ТЧИ¤№єОп.lnk
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\4080-23171-9517-198[1].cn
- C:\tmp.html
- C:\mstmp\Install\UpdaterMgr.exe
- C:\mstmp\Install\web.txt
- C:\mstmp\Install\UIInfo.exe
- C:\mstmp\Install\inetsync.exe
- C:\mstmp\Install\Setup.exe
- C:\mstmp\Install\setup.ini
- <SYSTEM32>\INotes\UpdaterMgr.exe
- C:\mstmp\Install\adunwise.exe
- C:\mstmp\Install\ebay1.ico
- C:\mstmp\Install\ebay.ico
Удаляет следующие файлы:
- C:\tmp.html
- C:\mstmp\Install\UIInfo.exe
- C:\mstmp\Install\adunwise.exe
- C:\mstmp\Install\inetsync.exe
- C:\mstmp\Install\UpdaterMgr.exe
- C:\mstmp\Install\web.txt
- C:\mstmp\Install\setup.ini
- C:\mstmp\Install\ebay1.ico
- C:\mstmp\Install\ebay.ico
Сетевая активность:
Подключается к:
- 'ad####.mediaplex.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- ad####.mediaplex.com/ad/ck/4080-23171-9517-198?cn#########################################
UDP:
- DNS ASK ad####.mediaplex.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
