Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: 'ollydbg' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\wghai[1]
- <SYSTEM32>\SouGoo.ime
- <SYSTEM32>\Windows XP.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\gg[1].html
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\wghai[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\x5ss[1]
Удаляет следующие файлы:
- <SYSTEM32>\SouGoo.ime
- <SYSTEM32>\Windows XP.dll
Сетевая активность:
Подключается к:
- 'www.wg##i.com':80
- 'www.x5##.net':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.x5##.net/
- www.wg##i.com/?fr#############
- www.x5##.net/gg.html
UDP:
- DNS ASK www.wg##i.com
- DNS ASK www.x5##.net
- '<IP-адрес в локальной сети>':1038
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'QuickUnpack v2.1'
- ClassName: 'ThunderRT6Form' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: '' WindowName: 'RL!dePacker - Generic Unpacker'
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'CicLoaderWndClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'WinDbgFrameClass' WindowName: ''
- ClassName: '' WindowName: 'Microsoft Spy++ - [???? 1]'
- ClassName: '' WindowName: 'Syser Debugger - Win32 User Mode Debugger'
- ClassName: '' WindowName: 'Syser : Active Hotkey [Ctrl+F12]'
- ClassName: '' WindowName: 'APIScan'
- ClassName: 'SoftSnoopMainDialog' WindowName: ''
- ClassName: '' WindowName: '????????'
- ClassName: '' WindowName: 'Raglstry Moniter - Sysexternals: www.sysexternals.com'
