Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://jump3.41119.cn:27889/report3.ashx?m=44-BB-AE-3A-9E-24&mid=21663&tid=1&d=e8f2582044a7a89ab81e6f83f1d887f7&uid=13729&t=system
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://tc.go4321.com/
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.38522.com/baohanye.htm
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\tbhdz.ico
- %APPDATA%\skin.ini
Сетевая активность
Подключается к
- 'do####ad.youbak.com':80
- 'ju###.41119.cn':27889
TCP
Запросы HTTP GET
- http://do####ad.youbak.com/msn/software/partner/PARTNER2093.exe
UDP
- DNS ASK do####ad.youbak.com
- DNS ASK do######02.go7654321.com
- DNS ASK tc.##4321.com
- DNS ASK ju###.41119.cn
- DNS ASK 38##2.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://jump3.41119.cn:27889/report3.ashx?m=44-BB-AE-3A-9E-24&mid=21663&tid=1&d=e8f2582044a7a89ab81e6f83f1d887f7&uid=13729&t=system' (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.38522.com/baohanye.htm' (со скрытым окном)
