Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'hao123Setting' = '%TEMP%\bdg2.exe http://jp.hao123.com/?tn=novirus_pay_hp_01_hao123_br'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\bdg1.tmp' -tn=tn=novirus_pay_sc_01_hao123_br -startmenu -desktop -quicklaunch
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Start Menu\Programs\日本hao123\Hao123.lnk
- %HOMEPATH%\Desktop\Hao123.lnk
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Hao123.lnk
- %HOMEPATH%\Start Menu\Programs\日本hao123\hao123のアンインストール.lnk
- %TEMP%\bdg1.tmp
- %TEMP%\hao123Config.xml
- %APPDATA%\baidu\hao123-jp\hao123.1.0.0.1108.exe
- %TEMP%\bdg2.exe
Сетевая активность:
Подключается к:
- 'dl.###ent.baidu.com':80
UDP:
- DNS ASK dl.###ent.baidu.com
