Техническая информация
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsec783.tmp\system.dll
- %TEMP%\setup.exe
- %TEMP%\theworld_3.0_2.exe
- %TEMP%\max2_133daohang4.exe
- %HOMEPATH%\favorites\====Гøö·ö®¼ò====.url
- %TEMP%\nsze714.tmp
- %TEMP%\nspe725.tmp\êà ½çö®´°a.ini
- %TEMP%\nsue743.tmp
- %TEMP%\nspe773.tmp\inetload2.dll
- %TEMP%\nspe725.tmp\iospecial.ini
- %TEMP%\nspe725.tmp\modern-wizard.bmp
- %ProgramFiles(x86)%\internet explorer\newiexplore.exe
- C:\launch internet explorer browser.lnk
- %WINDIR%\sppert.ini
- %TEMP%\deltemp.bat
Удаляет следующие файлы
- %TEMP%\nsec783.tmp\system.dll
- C:\launch internet explorer browser.lnk
- %TEMP%\nspe773.tmp\inetload2.dll
- %TEMP%\setup.exe
Подменяет следующие файлы
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Сетевая активность
Подключается к
- 'mk.##xthon.cn':80
TCP
Запросы HTTP GET
- http://mk.##xthon.cn/online_inst/data.ini
- http://mk.##xthon.cn/133daohang4/setup_133daohang4.exe
UDP
- DNS ASK mk.##xthon.cn
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\setup.exe'
- '%TEMP%\theworld_3.0_2.exe'
- '%TEMP%\max2_133daohang4.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\DelTemp.bat" " (со скрытым окном)
