Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\PPTV(pplive)_forxuyan_16301.exe'
- '%TEMP%\PPTV(pplive)_forxuyan_16301.exe' (загружен из сети Интернет)
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\PPTV(pplive)_forxuyan_16301.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\PPTV(pplive)_forxuyan_16301[1].exe
Сетевая активность:
Подключается к:
- 'cl#####mini.pplive.cn':80
- 'do####ad.pplive.com':80
TCP:
Запросы HTTP GET:
- cl#####mini.pplive.cn/minisite/1/index/
- do####ad.pplive.com/PPTV(pplive)_forxuyan_16301.exe
UDP:
- DNS ASK cl#####mini.pplive.cn
- DNS ASK do####ad.pplive.com
Другое:
Ищет следующие окна:
- ClassName: 'ATL:01253F10' WindowName: '(null)'
- ClassName: 'AtlAxWin90' WindowName: '(null)'
- ClassName: 'SysPager' WindowName: '(null)'
- ClassName: 'ToolbarWindow32' WindowName: '(null)'
- ClassName: 'AxWrapper' WindowName: '(null)'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'msctls_trackbar32' WindowName: '(null)'
- ClassName: 'PlugMainFrame' WindowName: '(null)'
- ClassName: 'ATL:02566A00' WindowName: '(null)'
- ClassName: 'PPLiveGUI' WindowName: 'PPTV'
- ClassName: 'PPLiveGUI' WindowName: 'PPTV????????'
- ClassName: 'TWizardForm' WindowName: '???? - ????????'
- ClassName: '#32770' WindowName: '???????? - ????????'
- ClassName: 'Button' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'TrayNotifyWnd' WindowName: '(null)'
- ClassName: 'msctls_progress32' WindowName: ''
- ClassName: 'PPLAbmWindow' WindowName: 'PPL Flash Window'
