Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\au.exe'
- '%TEMP%\~nsu.tmp\Au_.exe' _?=%TEMP%\
- '%TEMP%\nse3.tmp\ns6.tmp' "<SYSTEM32>\cscript.exe" "<SYSTEM32>\popgame.vbs"
- '%TEMP%\nse3.tmp\ns4.tmp' "<SYSTEM32>\install.exe"
- '%TEMP%\nse3.tmp\ns5.tmp' "<SYSTEM32>\net.exe" "start" "TKAutoUpSvc"
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://www.95##1.net/tan.htm?ga##
- '<SYSTEM32>\cscript.exe' "<SYSTEM32>\popgame.vbs"
- '<SYSTEM32>\net1.exe' "start" "TKAutoUpSvc"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nse3.tmp\ns5.tmp
- %TEMP%\nse3.tmp\ns6.tmp
- %TEMP%\nse3.tmp\ns4.tmp
- %TEMP%\nse3.tmp\nsProcess.dll
- %TEMP%\nse3.tmp\nsExec.dll
- %TEMP%\nsaA.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\tan[1].htm
- %TEMP%\~nsu.tmp\Au_.exe
- %ALLUSERSPROFILE%\Desktop\РЎУОП·.lnk
- %TEMP%\nsx8.tmp
- <SYSTEM32>\game.ico
- <SYSTEM32>\popgame.vbs
- <SYSTEM32>\install.inf
- %TEMP%\nsi2.tmp
- <SYSTEM32>\install.vbs
- %TEMP%\baidu.ini
- %TEMP%\uninst.exe
- %TEMP%\nse3.tmp\System.dll
- %WINDIR%\services.exe
- %TEMP%\au.exe
Удаляет следующие файлы:
- <SYSTEM32>\install.vbs
- %TEMP%\nse3.tmp\System.dll
- <SYSTEM32>\install.inf
- %TEMP%\baidu.ini
- <SYSTEM32>\popgame.vbs
- %TEMP%\nse3.tmp\nsProcess.dll
- %TEMP%\nse3.tmp\ns4.tmp
- %TEMP%\uninst.exe
- %TEMP%\nse3.tmp\ns5.tmp
- %TEMP%\nse3.tmp\nsExec.dll
- %TEMP%\nse3.tmp\ns6.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.95##1.net':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.95##1.net/tan.htm?ga##
UDP:
- DNS ASK www.95##1.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
