Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\tongji2.exe
- %PROGRAM_FILES%\tongji2.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cacls.exe <DRIVERS>\etc\hosts /t /g everyone:F
- <SYSTEM32>\attrib.exe -r -a -s -h <DRIVERS>\etc\hosts
Изменения в файловой системе:
Создает следующие файлы:
- C:\ntldrs\Isinter.gif
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\blank[1].gif
- C:\ntldrs\system.yf
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\sun[1].txt
- %PROGRAM_FILES%\tongji2.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\pao[1].exe
- C:\ntldrs\funbots.bat
- C:\ntldrs\svchest.exe
Удаляет следующие файлы:
- C:\ntldrs\Isinter.gif
Сетевая активность:
Подключается к:
- 'st####.naver.net':80
- 'my###in2012.com':80
- 'localhost':1035
- 'www.hi###pharm.com':80
TCP:
Запросы HTTP GET:
- my###in2012.com/sun.txt
- st####.naver.net/w9/blank.gif
- www.hi###pharm.com/files/File/product/pao.exe
UDP:
- DNS ASK my###in2012.com
- DNS ASK st####.naver.net
- DNS ASK www.hi###pharm.com
