Техническая информация
Вредоносные функции
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль cryptsp.dll
- Процесс iexplore.exe, модуль advapi32.dll
Изменения в файловой системе
Создает следующие файлы
- %CommonProgramFiles(x86)%\microsoft shared\explorer.exe
- C:\cftcab.txt
- C:\rnfrib.jpg
- C:\rcdxct.bmp
- C:\qusdlu.gif
- C:\uqaqud.doc
- %CommonProgramFiles(x86)%\uiui8.dll
- C:\1681.dat
- C:\mfiles\winlogon.exe
- D:\program files.exe
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012019111120191112\index.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %CommonProgramFiles(x86)%\uiui8.dll
- %CommonProgramFiles(x86)%\microsoft shared\explorer.exe
Перемещает следующие файлы
- C:\cftcab.txt в C:\users\public\desktop\intennet exploner.lnk
- C:\rnfrib.jpg в C:\users\public\desktop\¸ä±ääãµäò»éú.url
- C:\rcdxct.bmp в C:\users\public\desktop\ìô±¦¹ºîïa.url
- C:\qusdlu.gif в C:\users\public\desktop\ãâ·ñµçó°c.url
- C:\uqaqud.doc в %HOMEPATH%\favorites\&Г§ГВ·Г—Гøö·µ¼º½&.url
- C:\1681.dat в %PROGRAMDATA%\microsoft\windows\start menu\programs\startup\8970.lnk
Сетевая активность
TCP
Запросы HTTP GET
- http://www.dh##5.com/?ie##
- http://www.dh##5.com/4399.js
- http://23##87.com/register?id#########
- http://www.dh##5.com/favicon.ico
UDP
- DNS ASK dh##5.com
- DNS ASK hm.##idu.com
- DNS ASK 23##87.com
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'WorkerW' WindowName: ''
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'Address Band Root' WindowName: ''
- ClassName: 'Edit' WindowName: ''
- ClassName: '_____TTFrameWnd__101__' WindowName: ''
- ClassName: 'Maxthon2_Frame' WindowName: ''
- ClassName: '360se_Frame' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%CommonProgramFiles(x86)%\microsoft shared\explorer.exe'
