Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\greeou\greendou.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Start Menu\Programs\ВМ¶№дЇААЖч\ВМ¶№дЇААЖч.lnk
- %PROGRAM_FILES%\greeou\Unins.exe
- %WINDIR%\wininit.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cpv1[1].html
- %TEMP%\nss2.tmp\NSISdl.dll
- %TEMP%\nss2.tmp\zx.ini
- %PROGRAM_FILES%\greeou\greendou.exe
- %PROGRAM_FILES%\greeou\PopWinParam.xml
Удаляет следующие файлы:
- %TEMP%\nss2.tmp\zx.ini.log
- %TEMP%\nss2.tmp\zx.ini
- %TEMP%\nss2.tmp\NSISdl.dll
Сетевая активность:
Подключается к:
- 'lv###.damisou.com':80
- 'up####.035668.com':80
- 'up####.180308.com':80
- 'e4.#d01.org':80
- 'do##.ddqsh.org':99
- 'localhost':1048
TCP:
Запросы HTTP GET:
- up####.035668.com/m1/popwinparamupdate.aspx?ma##############################################
- up####.180308.com/m1/popwinparamupdate.aspx?ma##############################################
- e4.#d01.org/setup/?na###############
- lv###.damisou.com/a/cpv1.html
UDP:
- DNS ASK up####.035668.com
- DNS ASK up####.180308.com
- DNS ASK lv###.damisou.com
- DNS ASK e4.#d01.org
- DNS ASK do##.ddqsh.org
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
