Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{998A88A0-A355-809B-831C-B83A80000992}] 'Exec' = 'http://www.136s.com/taobao.html'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\~nsu.tmp\Au_.exe' /S _?=%TEMP%\
- '%TEMP%\uninst.exe' /S
- '%TEMP%\Intel\uc_cnzz.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s ie.chk
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Tencent\TencentTraveler\100\TtConf.dat
- <SYSTEM32>\taobao.ico
- %TEMP%\~nsu.tmp\Au_.exe
- %TEMP%\nsw2.tmp\UserInfo.dll
- %APPDATA%\360SE\360SE.ini
- %TEMP%\temp.ini
- %TEMP%\nsw2.tmp\System.dll
- %TEMP%\uninst.exe
- %TEMP%\Intel\ie.chk
- %TEMP%\Intel\uc_cnzz.exe
Удаляет следующие файлы:
- %TEMP%\uninst.exe
- %TEMP%\temp.ini
- %TEMP%\~DF2160.tmp
- %TEMP%\nsw2.tmp\System.dll
- %TEMP%\nsw2.tmp\UserInfo.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
