Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\1002.EXE
- %TEMP%\5043.exe
- C:\1002.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c delself.bat
- <SYSTEM32>\cmd.exe /c ""%TEMP%\ope4.bat" "" "C:" "1002.exe""
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\userid.txt
- %TEMP%\delself.bat
- %PROGRAM_FILES%\cql\ks.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\work[1].aspx
- C:\1002.exe
- C:\2009010822055118.rar
- %TEMP%\5043.exe
- %TEMP%\ope4.bat
- %TEMP%\1002.EXE
Удаляет следующие файлы:
- %TEMP%\5043.exe
- C:\1002.exe
Сетевая активность:
Подключается к:
- 'to####.dianxin.cn':80
- 'localhost':1038
- 'tj#.#ncj.net':80
TCP:
Запросы HTTP GET:
- to####.dianxin.cn/api/work.aspx?cm########################################################################################
- tj#.#ncj.net/5f5tlmadmin/co5tu5mnt.asp?ma###########
UDP:
- DNS ASK to####.dianxin.cn
- DNS ASK tj#.#ncj.net
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '???????????? V1.0 - [F.S.T]Kendy'
- ClassName: '' WindowName: '????????????????'
- ClassName: '' WindowName: 'Temporary Internet Files'
- ClassName: '' WindowName: '%HOMEPATH%\Local Settings\Temporary Internet Files'
- ClassName: '' WindowName: 'IP????'
- ClassName: '' WindowName: 'MiniSniffer'
- ClassName: '' WindowName: '?????????????? 2005 For 2000.XP'
- ClassName: '' WindowName: 'WSock Expert v0.6 beta 1'
