Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Clients\StartMenuInternet\MyBrowes.exe\shell\open\command] '' = '%PROGRAM_FILES%\Internet Explorer\iexplore.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KorSearch.exe' = '%APPDATA%\KorSoft\KorSearch\KorSearch.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\KorSoft\KorSearch\KorSearch.exe'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\tem.vbs"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Start Menu\Programs\KorSearch.lnk
- %HOMEPATH%\Desktop\KorSearch.lnk
- %APPDATA%\KorSoft\KorSearch\Р¶ФШ.bat
- <Текущая директория>\tem.vbs
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\upgrade[1].html
- %APPDATA%\KorSoft\KorSearch\Y.ini
- %APPDATA%\KorSoft\KorSearch\X.ini
- %APPDATA%\KorSoft\KorSearch\shrinkage.ini
- %APPDATA%\KorSoft\KorSearch\ActivateTheOpaque.ini
- %APPDATA%\KorSoft\KorSearch\KorSearch.exe
- %APPDATA%\KorSoft\KorSearch\skin.she
- %APPDATA%\KorSoft\KorSearch\transparent.ini
- %APPDATA%\KorSoft\KorSearch\top.ini
- %APPDATA%\KorSoft\KorSearch\StartingUp.ini
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.ko##e.tk':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.ko##e.tk/Product/KorSearch/upgrade.html
UDP:
- DNS ASK www.ko##e.tk
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '(null)' WindowName: '(null)'
