Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\BaiduPinyinSetup_2.13.2.98_sw-0000163129.exe'
- 'C:\bdBrowserSetup-5955-ftn_1000163129.exe'
- 'C:\Baidusd.Setup.3.0.0.4607.youqian_1000163129.exe'
- 'C:\BaiduAn.Setup.1117.3.0.0.3974_1000163129.exe'
- 'C:\BaiduPinyinSetup_2.13.2.98_sw-0000163129.exe' (загружен из сети Интернет)
- 'C:\bdBrowserSetup-5955-ftn_1000163129.exe' (загружен из сети Интернет)
- 'C:\BaiduAn.Setup.1117.3.0.0.3974_1000163129.exe' (загружен из сети Интернет)
- 'C:\Baidusd.Setup.3.0.0.4607.youqian_1000163129.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- C:\Baidusd.Setup.3.0.0.4607.youqian_1000163129.exe
- C:\bdBrowserSetup-5955-ftn_1000163129.exe
- C:\BaiduPinyinSetup_2.13.2.98_sw-0000163129.exe
- C:\BaiduAn.Setup.1117.3.0.0.3974_1000163129.exe
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- <Полный путь к вирусу>
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\[d077d591787226354002c5f3e1a29e28]
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/ditui/zujian/bdBrowserSetup-5955-ftn_1000163129.exe
- 12#.#25.114.144/ditui/zujian/BaiduPinyinSetup_2.13.2.98_sw-0000163129.exe
- 12#.#25.114.144/ditui/zujian/BaiduAn.Setup.1117.3.0.0.3974_1000163129.exe
- 12#.#25.114.144/ditui/zujian/Baidusd.Setup.3.0.0.4607.youqian_1000163129.exe
UDP:
- DNS ASK dl##.#r.baidu.com
