Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '360SAVETASK' = '<SYSTEM32>\360SaveTask.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\360SaveTask.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c del "<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\usb.dat
- <SYSTEM32>\360SaveTask.exe
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1040
- '12#.#25.114.144':80
- 'u.###255.com':80
- '40.##6688.com':80
TCP:
Запросы HTTP GET:
- http://www.ba##u.com/ via 12#.#25.114.144
- http://40.##6688.com/555.asp?ma###############################
- http://u.###255.com/image/ym.jpg
UDP:
- DNS ASK www.ba##u.com
- DNS ASK 40.##6688.com
- DNS ASK u.###255.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell DocObject View' WindowName: ''
- ClassName: 'Internet Explorer_Server' WindowName: ''
