Техническая информация
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\net.exe' stop "Kingsoft AntiVirus Service"
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\virdll.dll
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- '<LOCALNET>.37.1':445
- '<LOCALNET>.37.1':139
- '<LOCALNET>.37.1':80
UDP
- DNS ASK sz##k.com
Другое
Ищет следующие окна
- ClassName: 'RavMonClass' WindowName: 'RavMon.exe'
- ClassName: 'Tapplication' WindowName: 'ÌìÍø·À»ðǽ¸öÈË°æ'
- ClassName: 'Tapplication' WindowName: 'ÌìÍø·À»ðǽÆóÒµ°æ'
- ClassName: 'TForm1' WindowName: ''
- ClassName: 'TfLockDownMain' WindowName: ''
- ClassName: 'ZAFrameWnd' WindowName: 'ZoneAlarm'
Создает и запускает на исполнение
- '<SYSTEM32>\net.exe' stop "Kingsoft AntiVirus Service"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\net1.exe' stop "Kingsoft AntiVirus Service"
