Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'mshta.exe vbscript:CreateObject("Wscript.Shell").run("D:\\\\\RECYCLERNNKH\\70F6E465-7DEF-71d2-C2D9-10C04F8EEC81.vbe../")(...
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles%\internet explorer\iexplore.exe' http://www.cnkankan.com/?t
Изменения в файловой системе
Создает следующие файлы
- D:\recyclernnkh\70f6e465-7def-71d2-c2d9-10c04f8eec81.vbe
- D:\recyclernnkh\tmp.reg
- %APPDATA%\microsoft\windows\privacie\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023090920230910\index.dat
Сетевая активность
Подключается к
- 'cn###kan.com':80
- 'pu##.###nzhang.baidu.com':80
- 'hm.##idu.com':443
- 'ap#.##are.baidu.com':80
TCP
Запросы HTTP GET
- http://www.cn###kan.com/?t
- http://www.cn###kan.com/common.js
- http://www.cn###kan.com/tj.js
- http://www.cn###kan.com/favicon.ico
- http://pu##.###nzhang.baidu.com/push.js
- http://ap#.##are.baidu.com/s.gif?l=##########################
Другие
- 'hm.##idu.com':443
UDP
- DNS ASK cn###kan.com
- DNS ASK pu##.###nzhang.baidu.com
- DNS ASK hm.##idu.com
- DNS ASK ap#.##are.baidu.com
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\attrib.exe' +s +h D:\RECYCLERNNKH' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regedt32.exe' /s D:\RECYCLERNNKH\tmp.reg
- '<SYSTEM32>\attrib.exe' +s +h D:\RECYCLERNNKH
- '%WINDIR%\regedit.exe' /s D:\RECYCLERNNKH\tmp.reg
