Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- "%TEMP%\kele.exe" (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\url.cab
- %PROGRAM_FILES%\kingsoft\kwsui.dll
- %PROGRAM_FILES%\kingsoft\kwssp.dll
- %PROGRAM_FILES%\ico\Chat.ico
- <SYSTEM32>\safe.ico
- %ALLUSERSPROFILE%\Application Data\kingsoft\kws\urlcache.dat
- %ALLUSERSPROFILE%\Application Data\kingsoft\kws\kws.ini
- %TEMP%\kele.exe
- %PROGRAM_FILES%\kingsoft\KWSSVC.log
- %PROGRAM_FILES%\ico\Beauty.ico
- %PROGRAM_FILES%\ico\Film.ico
- %ALLUSERSPROFILE%\Desktopkws\kws.ini
- %HOMEPATH%\Desktop360se\360se_s.ini
- %TEMP%\lnk.bat
- %PROGRAM_FILES%\kingsoft\KSWebShield.dll
- %PROGRAM_FILES%\ico\Video.ico
- %PROGRAM_FILES%\ico\Taobao.ico
- %PROGRAM_FILES%\kingsoft\KSWebShield.exe
- %PROGRAM_FILES%\ico\meiv.ico
Сетевая активность:
Подключается к:
- 'ip.##inaz.com':80
- 'fw.#q.com':80
- 'ap#.#c120.com':80
- 'ht.##down.com':80
- '22#.#44.225.3':50
- 'www.33##.org':80
- 'c.###e55.com':80
TCP:
Запросы HTTP GET:
- ip.##inaz.com/
- fw.#q.com/ipaddress
- ap#.#c120.com/false_host/
- www.33##.org/dyndns/getip
- c.###e55.com/c/kele_6343000010
- ht.##down.com/kele/up_1.asp?a=################
UDP:
- DNS ASK ht.##down.com
- DNS ASK ip.##inaz.com
- DNS ASK fw.#q.com
- DNS ASK ap#.#c120.com
- DNS ASK www.33##.org
- DNS ASK c.###e55.com
- '10.#.1.1':1035
- '10.#.1.1':1034
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'ks_xuyixin'
- ClassName: 'kws::OSUCWindowClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
