Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\uninstall.exe'
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://to###i.1635.cn/tj1/g.asp?ma#############################
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://www.16#5.cn/ad.html
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\开心花园之小鬼神偷.exe
- %TEMP%\RarSFX0\update.ini
- %TEMP%\RarSFX0\Update.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\g[1].asp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ad[1].html
- %TEMP%\RarSFX0\使用说明.txt
- %TEMP%\RarSFX0\SeedData.xml
- %TEMP%\RarSFX0\chimes.wav
- %TEMP%\RarSFX0\Animal.xml
- %TEMP%\RarSFX0\uninstall.exe
- %TEMP%\RarSFX0\ocr.exe
- %TEMP%\RarSFX0\login.gif
- %TEMP%\RarSFX0\db.dll
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\g[1].asp
Сетевая активность:
Подключается к:
- 'localhost':1040
- 'to###i.1635.cn':80
- 'localhost':1037
- 'www.16#5.cn':80
TCP:
Запросы HTTP GET:
- to###i.1635.cn/tj1/g.asp?ma#############################
- www.16#5.cn/ad.html
UDP:
- DNS ASK to###i.1635.cn
- DNS ASK www.16#5.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
