Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Downloads\PPTV(pplive)_forjiahao_0007.exe
- C:\Downloads\PPTV(pplive)_forjiahao_0007.exe (загружен из сети Интернет)
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoInternetIcon' = '00000001'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Start Menu\Internet Explorer.lnk
- C:\Downloads\PPTV(pplive)_forjiahao_0007.exe
- %ALLUSERSPROFILE%\Desktop\Internet Explorer.LNK
- %HOMEPATH%\Favorites\ЁђЁЋ Нш Ц· ґу И« ЁЌЁЏ.URL
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Start Menu\Internet Explorer.lnk
- %ALLUSERSPROFILE%\Desktop\Internet Explorer.LNK
Самоудаляется.
Сетевая активность:
Подключается к:
- 'do####ad.pplive.com':80
- 'do####ad.cpudln.com':80
- '26##.com':80
TCP:
Запросы HTTP GET:
- do####ad.pplive.com/PPTV(pplive)_forjiahao_0007.exe
- 26##.com/fs.exe
- 26##.com/hezuo/count.asp?ma##########################################################################################
- do####ad.cpudln.com/1/ad783.exe
UDP:
- DNS ASK do####ad.pplive.com
- DNS ASK www.26##.com
- DNS ASK 26##.com
- DNS ASK do####ad.cpudln.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'PPLive.exe'
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
