Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\2345explorer_299491.exe' /S
- '<Текущая директория>\filedown_299491.exe'
- '%TEMP%\2345explorer_299491.exe' (загружен из сети Интернет)
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\2345explorer_299491[1].41
- %TEMP%\2345explorer_299491.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\js[1].asp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sj[1].asp
- <Текущая директория>\filedown_299491.exe
Удаляет следующие файлы:
- %TEMP%\2345explorer_299491.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\2345explorer_299491[1].41
Сетевая активность:
Подключается к:
- 'do####ad.2345.cn':80
- 'yz#0.cn':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- do####ad.2345.cn/background/2345explorer_299491.exe?18######
- yz#0.cn/yz/qquncytq/js.asp
- yz#0.cn/yz/qquncytq/sj.asp
UDP:
- DNS ASK do####ad.2345.cn
- DNS ASK yz#0.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: '(null)'
