Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'LeyuBoxData' = ''
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KingSoft PowerWord PE' = ''
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ÍøÂçµçÊÓ' = ''
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.mysuda.cn/5.htm
Сетевая активность
Подключается к
- 'my##da.cn':80
TCP
Запросы HTTP GET
- http://www.my##da.cn/5.htm
UDP
- DNS ASK ca###leep.cn
- DNS ASK my##da.cn
Другое
Ищет следующие окна
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ2.0 °²×°'
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ2.0 °²×° '
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°Ô2.0 ÉèÖÃÏòµ¼'
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ °²×°'
- ClassName: '#32770' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: '' WindowName: '¹È¸è½ðɽ´Ê°ÔºÏ×÷°æ °²×° '
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.mysuda.cn/5.htm (со скрытым окном)
