Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\ccru\Shell\Open\Command] '' = '"Rundll32.exe" "%WINDIR%\CSIDLCOMMONS\verIDtxt.ver" bcanrun'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\CSIDLCOMMONS\KAV_97_10.exe'
- '%TEMP%\is-3H1JT.tmp\<Имя вируса>.tmp' /SL5="$40036,1089506,51712,<Полный путь к вирусу>"
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' "%WINDIR%\CSIDLCOMMONS\chspth.uccak" u32k
- '%WINDIR%\explorer.exe' %ALLUSERSPROFILE%\Start Menu\Programs\Startup
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\si44[1]
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\log\uplive\klivesetup.log
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
- %WINDIR%\CSIDLCOMMONS\ync.exe
- %WINDIR%\CSIDLCOMMONS\ttf.exe
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\hg.dat
- %WINDIR%\crucc.lnk
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installer2860153879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installer_antivirus3161403879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installerc3159533879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installdown3164373879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installact3163593879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installact2876093879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installact2861873879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installact3157343879.inf
- %ALLUSERSPROFILE%\Application Data\kingsoft\kis\KCLT\common_duba_installdone3154373879.inf
- %WINDIR%\CSIDLCOMMONS\taobao.ico
- %PROGRAM_FILES%\softguid\is-IOJ3N.tmp
- %PROGRAM_FILES%\softguid\is-AEAJL.tmp
- %PROGRAM_FILES%\softguid\unins000.dat
- %PROGRAM_FILES%\softguid\is-F1A2A.tmp
- %TEMP%\is-AK3V3.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-3H1JT.tmp\<Имя вируса>.tmp
- %TEMP%\is-AK3V3.tmp\InstallDll.dll
- %TEMP%\is-AK3V3.tmp\_isetup\_shfoldr.dll
- %WINDIR%\CSIDLCOMMONS\Install.tmp
- %WINDIR%\CSIDLCOMMONS\ppc.exe
- %WINDIR%\CSIDLCOMMONS\KAV_97_10.exe
- %WINDIR%\CSIDLCOMMONS\serverID.txt
- %WINDIR%\CSIDLCOMMONS\rd.txt
- %WINDIR%\CSIDLCOMMONS\Config.ini
- %WINDIR%\CSIDLCOMMONS\chspth.uccak
- %WINDIR%\CSIDLCOMMONS\infofile.tmp
- %WINDIR%\CSIDLCOMMONS\crucc.ccru
Удаляет следующие файлы:
- %TEMP%\is-AK3V3.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-3H1JT.tmp\<Имя вируса>.tmp
- %TEMP%\is-AK3V3.tmp\InstallDll.dll
- %TEMP%\is-AK3V3.tmp\_isetup\_RegDLL.tmp
Перемещает следующие файлы:
- %PROGRAM_FILES%\softguid\is-F1A2A.tmp в %PROGRAM_FILES%\softguid\Install.tmp
- %PROGRAM_FILES%\softguid\is-IOJ3N.tmp в %PROGRAM_FILES%\softguid\InstallDll.dll
- %PROGRAM_FILES%\softguid\is-AEAJL.tmp в %PROGRAM_FILES%\softguid\unins000.exe
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'crl.verisign.com':80
- 'www.si##.com':80
- 'localhost':1036
- 'www.yi###anju.com':8080
TCP:
Запросы HTTP GET:
- crl.verisign.com/pca3.crl
- wp#d/wpad.dat
- www.si##.com/
UDP:
- DNS ASK cs#######-2-crl.verisign.com
- DNS ASK in##.duba.net
- DNS ASK cd###.www.duba.net
- DNS ASK crl.verisign.com
- DNS ASK www.yi###anju.com
- DNS ASK www.si##.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'IEFrame' WindowName: '(null)'
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: '(null)' WindowName: '????'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
- ClassName: '(null)' WindowName: '%ALLUSERSPROFILE%\Start Menu\Programs\Startup'
