Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'hao123Setting' = '%TEMP%\bdg3.exe http://jp.hao123.com/?tn=rnw_pay_hp_hao123_jp'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\bdg1.tmp' -tn=tn=rnw_pay_sc_hao123_jp -startmenu -desktop -quicklaunch
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Hao123.lnk
- %HOMEPATH%\Start Menu\Programs\日本hao123\hao123のアンインストール.lnk
- %HOMEPATH%\Start Menu\Programs\日本hao123\Hao123.lnk
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\C8E7EC0C85688F4738F3BE49B104BA67
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\8A9510437CB4EEB09F4B3AC2BC980E19
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\8A9510437CB4EEB09F4B3AC2BC980E19
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\C8E7EC0C85688F4738F3BE49B104BA67
- %TEMP%\bdg2.tmp
- %TEMP%\bdg1.tmp
- %TEMP%\hao123Config.xml
- %HOMEPATH%\Desktop\Hao123.lnk
- %TEMP%\bdg3.exe
- %APPDATA%\baidu\hao123-jp\hao123.1.0.0.1108.exe
Удаляет следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\cookies.sqlite-shm
Сетевая активность:
Подключается к:
- 'cr#.##obalsign.com':80
- 'dl.###ent.baidu.com':80
- 'wp#d':80
- 'cr#.##obalsign.net':80
TCP:
Запросы HTTP GET:
- cr#.##obalsign.com/gs/gscodesigng2.crl
- cr#.##obalsign.net/root.crl
- wp#d/wpad.dat
UDP:
- DNS ASK cr#.##obalsign.com
- DNS ASK dl.###ent.baidu.com
- DNS ASK wp#d
- DNS ASK cr#.##obalsign.net
