Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795688}] 'Exec' = 'http://cash-com.co.kr/'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'CashCom' = '%PROGRAM_FILES%\CashCom\cashcom_update.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\CashCom\cashcom_update.exe
- %PROGRAM_FILES%\CashCom\cashcom_update.exe (загружен из сети Интернет)
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\CashCom\uinst.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\uinst[1].exe
- %PROGRAM_FILES%\CashCom\cashcom_icon.ico
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\cashcom_icon[1].ico
- %PROGRAM_FILES%\CashCom\CashCom.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\CashCom[1].dll
- %PROGRAM_FILES%\CashCom\cashcom_update.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\cashcom_update[1].exe
Сетевая активность:
Подключается к:
- 'ca###com.co.kr':80
TCP:
Запросы HTTP GET:
- ca###com.co.kr/re_down/cashcom_icon.ico
- ca###com.co.kr/log/install_log.php?os###############################################################################################
- ca###com.co.kr/re_down/uinst.exe
- ca###com.co.kr/re_down/CashCom.dll
- ca###com.co.kr/re_down/cashcom_update.exe
UDP:
- DNS ASK ca###com.co.kr
