Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'LeyuBoxData' = ''
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KingSoft PowerWord PE' = ''
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ÍøÂçµçÊÓ' = ''
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.ca###leep.cn
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\$$del$$.bat
Самоудаляется.
Сетевая активность
UDP
- DNS ASK ca###leep.cn
Другое
Ищет следующие окна
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ2.0 °²×°'
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ2.0 °²×° '
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°Ô2.0 ÉèÖÃÏòµ¼'
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ °²×°'
- ClassName: '#32770' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ °²×° '
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\$$del$$.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c <Текущая директория>\$$del$$.bat
