Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'explorer.exe,<SYSTEM32>\Ieautoups.exe'
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles%\internet explorer\iexplore.exe' http://xi#######3.35.80000web.net.cn/tongji/count/count.asp?id##########################
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\autoups.exe
- %WINDIR%\syswow64\ieupdate.dll
- %WINDIR%\syswow64\ieautoups.exe
- <Текущая директория>\a.bat
Самоудаляется.
Сетевая активность
Подключается к
- 'xi#######3.35.80000web.net.cn':80
TCP
Запросы HTTP GET
- http://xi#######3.35.80000web.net.cn/tongji/count/count.asp?id##########################
UDP
- DNS ASK xi#######3.35.80000web.net.cn
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\autoups.exe'
- '%ProgramFiles%\internet explorer\iexplore.exe' http://xi#######3.35.80000web.net.cn/tongji/count/count.asp?id##########################' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c regsvr32 /s <SYSTEM32>\ieupdate.dll' (со скрытым окном)
- '%WINDIR%\syswow64\autoups.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\a.bat""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c regsvr32 /s <SYSTEM32>\ieupdate.dll
- '%WINDIR%\syswow64\regsvr32.exe' /s <SYSTEM32>\ieupdate.dll
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\a.bat""
- '%WINDIR%\syswow64\cmd.exe' /c color 0a
