Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '360ÍøÂ簲ȫ' = '%ProgramFiles(x86)%\haokan\haokan.exe'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\haokan\downlib.fne
- %ProgramFiles(x86)%\haokan\webbrowser2.fne
- %ProgramFiles(x86)%\haokan\krnln.fnr
- %ProgramFiles(x86)%\haokan\haokan.exe
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012023092120230922\index.dat
- C:\114downloads\pptv(pplive)_jinshan_4.exe
Сетевая активность
Подключается к
- '39##1.cn':80
- 'ne#####.funshion.com':80
- 'd.#####.ijinshan.com':80
- 'hm.##idu.com':443
- 'dl###r2.qq.com':80
TCP
Запросы HTTP GET
- http://ne#####.funshion.com/download/silent/108955/FunshionInstall.exe
- http://39##1.cn/tj/aztj.html
- http://d.#####.ijinshan.com/pptv/link/PPTV(pplive)_jinshan_4.exe
- http://39##1.cn/zhibo8ba/YoudaoDict_zhusha_maidong_0027.exe
- http://www.39##1.cn/zhibo8ba/61015.exe
- http://d.#####.ijinshan.com/haoie/download.php?T=##########
- http://dl###r2.qq.com/invc/qqpcmgr/other/QQPCMgr_Setup_6.6.2153.401_60818.exe
Другие
- 'hm.##idu.com':443
UDP
- DNS ASK 39##1.cn
- DNS ASK ne#####.funshion.com
- DNS ASK d.#####.ijinshan.com
- DNS ASK hm.##idu.com
- DNS ASK dl###r2.qq.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\haokan\haokan.exe'
