Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\expand.exe ""%TEMP%\url.cab"" -F:*.* "%HOMEPATH%\Desktop"
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.38##2.com/baohanye.htm
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://tc.##4321.com/
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://ju###.#1119.cn:27889/report3.ashx?m=#######################################################################################
- <SYSTEM32>\cmd.exe /c """%TEMP%\tmp_run_url_cab.bat"" "
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\tc.go4321[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\baohanye[1].htm
- %TEMP%\tmp_run_url_cab.bat
- <SYSTEM32>\tbhdz.ico
- %APPDATA%\skin.ini
Сетевая активность:
Подключается к:
- 'ju###.41119.cn':27889
- 'tc.##4321.com':80
- 'www.38##2.com':80
- 'localhost':1037
- 'localhost':1038
- 'localhost':1039
TCP:
Запросы HTTP GET:
- www.38##2.com/baohanye.htm
- tc.##4321.com/
UDP:
- DNS ASK www.38##2.com
- DNS ASK tc.##4321.com
- DNS ASK ju###.41119.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
