Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sau' = '%PROGRAM_FILES%\180search assistant\sau.exe'
- [<HKLM>\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}\DownloadInformation] 'CODEBASE' = 'http://www.180searchassistant.com/180saax.cab'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\180search Assistant\sau.exe' /did=005210
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Downloaded Program Files\RCX2.tmp
- %TEMP%\res1.tmp
- %PROGRAM_FILES%\180search Assistant\sau.exe
- %PROGRAM_FILES%\180search Assistant\sau.log
- C:\ClientInstaller.log
- %WINDIR%\Downloaded Program Files\ClientAX.dll
- %TEMP%\ClientAX.inf
- %TEMP%\180SAAX.cab
- %TEMP%\ClientAX.dll
- %WINDIR%\Downloaded Program Files\ClientAX.inf
- %WINDIR%\Downloaded Program Files\180SAAX.cab
Удаляет следующие файлы:
- %TEMP%\ClientAX.inf
- %TEMP%\180SAAX.cab
- %TEMP%\ClientAX.dll
- %WINDIR%\Downloaded Program Files\180SAAX.cab
- %WINDIR%\Downloaded Program Files\ClientAX.dll
Перемещает следующие файлы:
- %WINDIR%\Downloaded Program Files\RCX2.tmp в %WINDIR%\Downloaded Program Files\ClientAX.dll
Сетевая активность:
Подключается к:
- 'bi#.###solutions.com':80
UDP:
- DNS ASK bi#.###solutions.com
Другое:
Ищет следующие окна:
- ClassName: 'nTApp' WindowName: 'nTApp'
- ClassName: '#32770' WindowName: '180search Assistant'
- ClassName: 'msbb' WindowName: 'msbb'
