Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sougou.lnk
Вредоносные функции
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\yzm\peiz.ini
- %WINDIR%\syswow64\grouppolicy\machine\registry.pol
Сетевая активность
Подключается к
- 'ip##8.com':80
- 'ip##8.com':443
- '<LOCALNET>.8.5':1234
TCP
Запросы HTTP GET
- http://www.ip##8.com/ips1388.asp
Другие
- 'ip##8.com':443
UDP
- DNS ASK ip##8.com
- DNS ASK tb##.#gooodd.com
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: 'IEXPLORE.EXE'
- ClassName: '' WindowName: '360se.exe'
- ClassName: '' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\regedit.exe' /s %HOMEPATH%\Documents\\yzm\jinbiao.reg (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s %HOMEPATH%\Documents\\yzm\jinbiao1.reg (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s %HOMEPATH%\Documents\\yzm\jinbiao2.reg (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s %HOMEPATH%\Documents\\yzm\jinbiao3.reg (со скрытым окном)
