Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\weather report\0602333.exe'
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://ok.##aiso.com/?KL###############
- '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\Miorosoft Office\Miorosoft Office.dll"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Miorosoft Office\sogou.bmp
- %PROGRAM_FILES%\Miorosoft Office\Miorosoft Office.dll
- %PROGRAM_FILES%\Miorosoft Office\Miorosoft Office.crc
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ok.kuaiso[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\gd_ad[1].html
- %PROGRAM_FILES%\Miorosoft Office\version.txt
- %PROGRAM_FILES%\Miorosoft Office\icons.bmp
- %PROGRAM_FILES%\weather report\ad1326.exe
- %PROGRAM_FILES%\weather report\mms_708.exe
- %PROGRAM_FILES%\weather report\0602333.exe
- %PROGRAM_FILES%\Miorosoft Office\google.bmp
- %PROGRAM_FILES%\Miorosoft Office\basis.xml
- %TEMP%\nsg2.tmp
Сетевая активность:
Подключается к:
- 'ok.##aiso.com':80
- 'to####ar.kuaiso.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- ok.##aiso.com/?KL###############
- to####ar.kuaiso.com/gd_ad.html
UDP:
- DNS ASK ok.##aiso.com
- DNS ASK to####ar.kuaiso.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
