Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\down_s_74_430.exe'
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\e8e580d17171e7fe92a97473[1]
- <LS_APPDATA>\liebao\Bootsetup\2.1.11.3341\74\boot_setup.pack.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\yy[1]
- <SYSTEM32>\down_s_74_430.exe
- %TEMP%\send_b34.gz
Удаляет следующие файлы:
- %TEMP%\send_b34.gz
- <LS_APPDATA>\liebao\Bootsetup\2.1.11.3341\74\boot_setup.pack
Перемещает следующие файлы:
- <LS_APPDATA>\liebao\Bootsetup\2.1.11.3341\74\boot_setup.pack.tmp в <LS_APPDATA>\liebao\Bootsetup\2.1.11.3341\74\boot_setup.pack
Сетевая активность:
Подключается к:
- 'lb##.##ion.ijinshan.com':80
- 'lb####.tj.ijinshan.com':80
- '12#.#25.114.144':80
- 'localhost':1036
- 'yy.com':80
TCP:
Запросы HTTP GET:
- lb##.##ion.ijinshan.com/?pi#############################
- 12#.#25.114.144/hzhza86680521/item/e8e580d17171e7fe92a97473
- yy.com/
Запросы HTTP POST:
- lb####.tj.ijinshan.com/data/
UDP:
- DNS ASK lb##.##ion.ijinshan.com
- DNS ASK lb####.tj.ijinshan.com
- DNS ASK yy.com
- DNS ASK hi.##idu.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
