Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Создает и запускает на исполнение:
- '%WINDIR%\qhse_7654_377.exe'
- '%WINDIR%\bdsd_1454_7654_377.exe'
- '%WINDIR%\dongfang_7654_377.exe'
- '%WINDIR%\bdws_1454_7654_377.exe'
- '%WINDIR%\bdbrowser_7654_377.exe'
- '%WINDIR%\bdsd_1454_7654_377.exe' (загружен из сети Интернет)
- '%WINDIR%\dongfang_7654_377.exe' (загружен из сети Интернет)
- '%WINDIR%\bdbrowser_7654_377.exe' (загружен из сети Интернет)
- '%WINDIR%\qhse_7654_377.exe' (загружен из сети Интернет)
- '%WINDIR%\bdws_1454_7654_377.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\delay.vbs"
- '<SYSTEM32>\cmd.exe' /c c:\Del.bat
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\dongfang_7654_377.exe
- C:\Del.bat
- %TEMP%\delay.vbs
- %WINDIR%\bdsd_1454_7654_377.exe
- %WINDIR%\bdws_1454_7654_377.exe
- %WINDIR%\bdbrowser_7654_377.exe
- %WINDIR%\qhse_7654_377.exe
Удаляет следующие файлы:
- %TEMP%\delay.vbs
Самоудаляется.
Сетевая активность:
Подключается к:
- 'do##.7654.com':80
TCP:
Запросы HTTP GET:
- do##.7654.com/downloads/package_one/bdsd_1454_7654_377.exe
- do##.7654.com/downloads/package_one/dongfang_7654_377.exe
- do##.7654.com/downloads/package_one/qhse_7654_377.exe
- do##.7654.com/downloads/package_one/bdws_1454_7654_377.exe
- do##.7654.com/downloads/package_one/bdbrowser_7654_377.exe
UDP:
- DNS ASK do##.7654.com
