Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://tc.go4321.com/
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.38522.com/baohanye.htm
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\favorites\¾«²êð¡óîï·.url
- %HOMEPATH%\favorites\ñôçéð¡ëµ.url
- %HOMEPATH%\favorites\Гøö·´óè«.url
- %HOMEPATH%\desktop\´´òµö×êºãïîä¿.url
- %HOMEPATH%\desktop\°ëøôé«ГВј.url
- %HOMEPATH%\desktop\ãà å®êóæµ.url
- %HOMEPATH%\desktop\ãà å®à öô°.url
- %APPDATA%\microsoft\windows\start menu\internet explorer.lnk
- %WINDIR%\syswow64\tbhdz.ico
Изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\internet explorer.lnk
Подменяет следующие файлы
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
Сетевая активность
Подключается к
- 'do####ad.youbak.com':80
TCP
Запросы HTTP GET
- http://do####ad.youbak.com/msn/software/partner/PARTNER2093.exe
UDP
- DNS ASK do####ad.youbak.com
- DNS ASK 38##2.com
- DNS ASK tc.##4321.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.38522.com/baohanye.htm' (со скрытым окном)
