Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %WINDIR%\xtyybd.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\360tray
- %WINDIR%\xtyybd.jpg
- %TEMP%\2b05a.tmp
- %WINDIR%\xiaolanzhuxixi
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\xiaolanzhuxixi
Сетевая активность:
Подключается к:
- 'gu######2476.blog.163.com':80
- 'bl##.#ina.com.cn':80
- 'pv.#ohu.com':80
TCP:
Запросы HTTP GET:
- http://gu######2476.blog.163.com/blog/static/2524110192015727113340924/
- http://bl##.#ina.com.cn/s/blog_13ebd4c900102vreb.html
- http://pv.#ohu.com/cityjson?ie#######
UDP:
- DNS ASK www.xl##z.com
- DNS ASK gu######2476.blog.163.com
- DNS ASK pv.#ohu.com
- DNS ASK bl##.#ina.com.cn
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
