Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\sogou_pinyin_mini_5075.exe'
- '%TEMP%\is-6DPMD.tmp\hahagame.tmp' /SL5="$40092,1418550,72704,C:\hahagame.exe" /sp- /silent /norestart /verysilent
- 'C:\baidu.exe'
- 'C:\hahagame.exe' /sp- /silent /norestart /verysilent
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://www.12#4.la/an.htm?zh######
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-FRMP8.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-FRMP8.tmp\_isetup\_RegDLL.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\an[1].htm
- %TEMP%\version.ini
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
- %TEMP%\is-6DPMD.tmp\hahagame.tmp
- %TEMP%\aut2.tmp
- C:\baidu.exe
- %TEMP%\aut1.tmp
- C:\sogou_pinyin_mini_5075.exe
- %TEMP%\aut3.tmp
- C:\hahagame.exe
Удаляет следующие файлы:
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'www.12#4.la':80
- 'pi####.sogou.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.12#4.la/an.htm?zh######
- pi####.sogou.com/version.php?h=#######################################
UDP:
- DNS ASK www.12#4.la
- DNS ASK pi####.sogou.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
