Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\dlq\LoginTool.exe'
- '%PROGRAM_FILES%\dlq\iSpeak\iSupdater.exe' -request http://he##.ipark.cn/go/clicklog.aspx?ke########################
- '%PROGRAM_FILES%\dlq\iSpeak\iSupdater.exe' -cmdline -hide -install
- '%PROGRAM_FILES%\360\360sd\360nzp.exe' <Полный путь к вирусу> -s<Полный путь к вирусу>
- '%TEMP%\360safe\`ґ«ЖжµЗВЅЖч.exe' <Полный путь к вирусу> -s<Полный путь к вирусу>
- '%PROGRAM_FILES%\QQtxpform.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c afc9fe2f418b00a0.bat
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\temp.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\dlq\LoginTool.exe
- %PROGRAM_FILES%\temp0\QQ.exe
- %PROGRAM_FILES%\dlq\iSpeak\iSupdater.exe
- %PROGRAM_FILES%\360\360sd\afc9fe2f418b00a0.bat
- %TEMP%\nsi4.tmp\FindProcDLL.dll
- %HOMEPATH%\Desktop\ґ«ЖжµЗВЅЖч.lnk
- %TEMP%\temp.bat
- %PROGRAM_FILES%\360\360sd\360nzp.exe
- %TEMP%\360safe\`ґ«ЖжµЗВЅЖч.exe
- %PROGRAM_FILES%\dlq\iSpeak\enterroomconfig.ini
- %TEMP%\nsl3.tmp
- %PROGRAM_FILES%\QQtxpform.exe
Удаляет следующие файлы:
- %PROGRAM_FILES%\360\360sd\360nzp.exe
- %TEMP%\nsi4.tmp\FindProcDLL.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'he##.ipark.cn':80
TCP:
Запросы HTTP GET:
- he##.ipark.cn/go/clicklog.aspx?ke########################
UDP:
- DNS ASK sh####k.3322.org
- DNS ASK up###e.ipark.cn
- DNS ASK he##.ipark.cn
- DNS ASK up####.iuzone.com
Другое:
Ищет следующие окна:
- ClassName: 'Button' WindowName: '????????????'
- ClassName: 'Afx:400000:0' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
