Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'hsearch' = '%PROGRAM_FILES%\hsearch\hsmain.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\hsearch\hsmain.exe
- %PROGRAM_FILES%\hsearch\hsmain.exe (загружен из сети Интернет)
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\hsmain[1].exe
- %PROGRAM_FILES%\hsearch\hsmain.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\hsearch[1].dll
- %PROGRAM_FILES%\hsearch\hsearch.dll
Сетевая активность:
Подключается к:
- 'hs###ch.co.kr':80
TCP:
Запросы HTTP GET:
- hs###ch.co.kr/down/hsmain.exe
- hs###ch.co.kr/down/hsearch.dll
UDP:
- DNS ASK hs###ch.co.kr
