Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\kuping_s_31752.exe'
- '<SYSTEM32>\Baidusd_OnlineSetup_sid_30104_silent.exe'
- '<SYSTEM32>\setupX_078.exe'
- '<SYSTEM32>\Baidusd_OnlineSetup_sid_30104_silent.exe' (загружен из сети Интернет)
- '<SYSTEM32>\setupX_078.exe' (загружен из сети Интернет)
- '<SYSTEM32>\kuping_s_31752.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Baidusd_OnlineSetup_sid_30104_silent.exe
- <SYSTEM32>\kuping_s_31752.exe
- <SYSTEM32>\setupX_078.exe
Сетевая активность:
Подключается к:
- 'do####ad.wallba.com':80
- '12#.#25.114.144':80
- 'www.yl##js.com':80
- 'do####ad.yykc.com':81
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/sw-search-shadu/client/mini/Baidusd_OnlineSetup_sid_30104_silent.exe?qq###############
- do####ad.wallba.com/download.php/kuping_s_31752.exe
- www.yl##js.com/setupX_078.exe
UDP:
- DNS ASK do####ad.wallba.com
- DNS ASK dl##.baidu.com
- DNS ASK www.yl##js.com
- DNS ASK do####ad.yykc.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'cpa.exe'
