Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://www.ha##23.com/index.html?gu#####
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\62B5AF9BE9ADC1085C3C56EC07A82BF6
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- %HOMEPATH%\Start Menu\Programs\hao123桌面版\hao123.lnk
- %HOMEPATH%\Desktop\hao123.lnk
- %APPDATA%\baidu\hao123\hao123.1.0.0.1106.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\index[1].html
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\hao123.lnk
- %HOMEPATH%\Start Menu\Programs\hao123桌面版\卸载hao123.lnk
Сетевая активность:
Подключается к:
- 'crl.verisign.com':80
- 'cs######0-crl.verisign.com':80
- 'dl.###ent.baidu.com':80
- 'localhost':1037
- 'www.ha##23.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- crl.verisign.com/pca3-g5.crl
- cs######0-crl.verisign.com/CSC3-2010.crl
- crl.verisign.com/pca3.crl
- www.ha##23.com/index.html?gu#####
- wp#d/wpad.dat
UDP:
- DNS ASK cs######0-crl.verisign.com
- DNS ASK dl.###ent.baidu.com
- DNS ASK crl.verisign.com
- DNS ASK www.ha##23.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
