Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\6.5辅助(如被封请改名).exe'
Запускает на исполнение:
- '<SYSTEM32>\ipconfig.exe' /flushdns
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RarSFX0\139my.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\139my[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\139my[1]
- %TEMP%\RarSFX0\fcSgWFSeVLYkq3O.dll
- %TEMP%\RarSFX0\6.5辅助(如被封请改名).exe
- %TEMP%\RarSFX0\corona-CORONA.skn
- %TEMP%\RarSFX0\VMProtectSDK32.dll
Удаляет следующие файлы:
- %TEMP%\RarSFX0\6.5辅助(如被封请改名).exe
- %TEMP%\RarSFX0\corona-CORONA.skn
- %TEMP%\RarSFX0\VMProtectSDK32.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\139my[1]
- %TEMP%\RarSFX0\fcSgWFSeVLYkq3O.dll
- %TEMP%\RarSFX0\139my.ini
Сетевая активность:
Подключается к:
- 'www.13##y.com':80
- 'localhost':1040
- 'localhost':1038
- 'wg.##0wg.com':808
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- www.13##y.com/
- 12#.#25.114.144/139my139my/blog/item/ed869ea73e60a2ee37d3ca18.html
UDP:
- DNS ASK www.13##y.com
- DNS ASK hi.##idu.com
- DNS ASK wg.##0wg.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
