Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\pipi_dae_476.exe (загружен из сети Интернет)
- %TEMP%\Happy88hyt.exe (загружен из сети Интернет)
- <LS_APPDATA>\UPd.exe "http://www.xu###i100.com/youbak/software/partner/4/Happy88hyt.exe" "http://www.xu###i100.com/youbak/software/partner/1/pipi_dae_476.exe" "http://US#######9A9C02.naige.com.cn/download/shenlong/ie/setup.exe"
- %TEMP%\setup.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\pipi_dae_476.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\pipi_dae_476[1].exe
- %TEMP%\Happy88hyt.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\Happy88hyt[1].exe
- <LS_APPDATA>\UPd.exe
- %TEMP%\~1.bat
- %TEMP%\setup.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\setup[1].exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\~1.bat
Удаляет следующие файлы:
- <LS_APPDATA>\UPd.exe
- %TEMP%\~1.bat
Сетевая активность:
Подключается к:
- 'www.xu###i100.com':80
- 'localhost':1039
- 'localhost':1037
- 'localhost':1034
- 'us#######9a9c02.naige.com.cn':80
TCP:
Запросы HTTP GET:
- www.xu###i100.com/youbak/software/partner/4/Happy88hyt.exe
- www.xu###i100.com/youbak/software/partner/1/pipi_dae_476.exe
- us#######9a9c02.naige.com.cn/download/shenlong/ie/setup.exe
UDP:
- DNS ASK www.xu###i100.com
- DNS ASK us#######9a9c02.naige.com.cn
- '<IP-адрес в локальной сети>':1035
