Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\play_2062.exe'
- '<SYSTEM32>\kuping_s_31752.exe'
- '<SYSTEM32>\Baidusd_OnlineSetup_sid_30104_silent.exe'
- '<SYSTEM32>\setupX_078.exe'
- '<SYSTEM32>\play_2062.exe' (загружен из сети Интернет)
- '<SYSTEM32>\kuping_s_31752.exe' (загружен из сети Интернет)
- '<SYSTEM32>\setupX_078.exe' (загружен из сети Интернет)
- '<SYSTEM32>\Baidusd_OnlineSetup_sid_30104_silent.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\kuping_s_31752.exe
- <SYSTEM32>\play_2062.exe
- <SYSTEM32>\setupX_078.exe
- <SYSTEM32>\Baidusd_OnlineSetup_sid_30104_silent.exe
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
- 'do####ad.wallba.com':80
- 'cd#.#66dy.com':80
- 'do####ad.yykc.com':81
- 'localhost':1035
- 'www.21###zheng.com':789
- 'www.yl##js.com':80
TCP:
Запросы HTTP GET:
- do####ad.wallba.com/download.php/kuping_s_31752.exe
- cd#.#66dy.com/down/play_2062.exe
- www.yl##js.com/setupX_078.exe
- 12#.#25.114.144/sw-search-shadu/client/mini/Baidusd_OnlineSetup_sid_30104_silent.exe?qq###############
UDP:
- DNS ASK dl##.baidu.com
- DNS ASK do####ad.wallba.com
- DNS ASK cd#.#66dy.com
- DNS ASK www.21###zheng.com
- DNS ASK www.yl##js.com
- DNS ASK do####ad.yykc.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
