Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- C:\ZcomMagSubscribe-100-2264.exe
- C:\SVCTHOS.exe
- C:\ZcomMagSubscribe-100-2264.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""kill.bat""
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\kill.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ZcomMagSubscribe-100-2264[1].exe
- C:\ZcomMagSubscribe-100-2264.exe
- C:\xjjy.dll
- C:\SVCTHOS.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\SVCTHOS.exe
- C:\xjjy.dll
Удаляет следующие файлы:
- %TEMP%\~DF243F.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'zc####l.zcominc.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- zc####l.zcominc.com/union/ZcomMagSubscribe-100-2264.exe
UDP:
- DNS ASK zc####l.zcominc.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Zcom ?????????? 2007 Bata6 ????'
- ClassName: '' WindowName: 'Funshion'
- ClassName: '' WindowName: 'Zcom ?????????? 2007 Bata6 ???? '
- ClassName: '' WindowName: 'UUSee ???????? 2008 '
- ClassName: '' WindowName: 'UUSee ???????? 2008'
- ClassName: '' WindowName: 'Funshion 1.5.1.2 Beta ????'
- ClassName: '' WindowName: 'PPS v2.6.83.5300 Final ???????? '
- ClassName: '' WindowName: 'PPS v2.6.83.5300 Final ????????'
- ClassName: '' WindowName: '????????????'
- ClassName: '' WindowName: 'Funshion 1.5.1.2 Beta ???? '
- ClassName: '' WindowName: '????????'
