Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'mysys' = '%PROGRAM_FILES%\Outlook_Express\SOUNDMAN.EXE'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\Outlook_Express\soundman.exe
- <SYSTEM32>\wwaqche.exe 205446
- %WINDIR%\10054.exe
- %WINDIR%\dl_205446.exe
- <SYSTEM32>\wwaqche.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 3 127.0.0.1
- <SYSTEM32>\cmd.exe /c <SYSTEM32>\jlkqwfwpx.bat
- <SYSTEM32>\cmd.exe /c <SYSTEM32>\wpqqyrk.bat
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wwaqche.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\image[1].jpg
- <SYSTEM32>\somarshal.dat
- <SYSTEM32>\cepfzxm.bat
- <SYSTEM32>\jlkqwfwpx.bat
- <SYSTEM32>\xbnqln.bat
- <SYSTEM32>\wpqqyrk.bat
- %PROGRAM_FILES%\Outlook_Express\soundman.exe
- %WINDIR%\10054.exe
- %WINDIR%\dl_205446.exe
- %PROGRAM_FILES%\Outlook_Express\httpapi.dll
- <SYSTEM32>\Com\Config.cfg
- <SYSTEM32>\Com\1.2.8\WndHook.dll
- %TEMP%\nsi2.tmp\System.dll
Удаляет следующие файлы:
- %WINDIR%\dl_205446.exe
- <SYSTEM32>\bzrsbxohwb.bat
- <SYSTEM32>\ewjlpoxe.bat
- %TEMP%\nsi2.tmp\System.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\image[1].jpg
Перемещает следующие файлы:
- <SYSTEM32>\xbnqln.bat в <SYSTEM32>\bzrsbxohwb.bat
- <SYSTEM32>\cepfzxm.bat в <SYSTEM32>\ewjlpoxe.bat
Сетевая активность:
Подключается к:
- 'ww#.##me520.com.cn':80
- 'ww#.##me520.com.cn':8080
TCP:
Запросы HTTP GET:
- ww#.##me520.com.cn/nba/image.jpg
UDP:
- DNS ASK cl.###system.com
- DNS ASK ww#.##me520.com.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
