Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\36b533ee67f34a8a505c21cb2b65e8de.tmp
- nul
- %TEMP%\faeafae6052b5cb045e8dccfcf9820298a286.tmp
Самоудаляется.
Сетевая активность
Подключается к
- 'ba###gif.com':2653
- 'ti####ic.baidu.com':80
- 'pv.#ohu.com':80
- '10#.#33.130.243':6663
- 'ap#.#bbtv.xyz':80
TCP
Запросы HTTP GET
- http://ap#.#bbtv.xyz/m.php?md##########################################################
UDP
- DNS ASK ba###gif.com
- DNS ASK ti####ic.baidu.com
- DNS ASK 20####.ip138.com
- DNS ASK pv.#ohu.com
- DNS ASK ap#.#bbtv.xyz
Другое
Ищет следующие окна
- ClassName: '2978' WindowName: ''
- ClassName: 'TrayNotifyWnd' WindowName: ''
- ClassName: 'SysPager' WindowName: ''
- ClassName: 'ToolbarWindow32' WindowName: ''
- ClassName: 'HallMainWnd' WindowName: ''
- ClassName: 'jjhgame' WindowName: ''
- ClassName: 'NotifyIconOverflowWindow' WindowName: ''
- ClassName: '850GamePlaza' WindowName: ''
- ClassName: 'Net77_GamePlaza' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' -' (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' _' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 5 >nul&del/f/s/q "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' -
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' _
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 5 >nul&del/f/s/q "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 5
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /all
- '%WINDIR%\syswow64\ipconfig.exe' /all
