Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\kingsoftkonline\KINSTALLERS_66_47367.exe' /s
- '%PROGRAM_FILES%\Windows NT\KINSTALLERS_66_47367.exe'
- '%TEMP%\kingsoftkonline\KINSTALLERS_66_47367.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.du##.com/?un#########" /f
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\Windows NT\s.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Windows NT\s.bat
- %TEMP%\kingsoftkonline\KINSTALLERS_66_47367.exe.tmp
- %PROGRAM_FILES%\Windows NT\KINSTALLERS_66_47367.exe
- %PROGRAM_FILES%\Windows NT\使用说明.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\Windows NT\s.bat
Перемещает следующие файлы:
- %TEMP%\kingsoftkonline\KINSTALLERS_66_47367.exe.tmp в %TEMP%\kingsoftkonline\KINSTALLERS_66_47367.exe
Сетевая активность:
Подключается к:
- 'd.#####.ijinshan.com':80
- 'bo.###a.net:8080':80
TCP:
Запросы HTTP GET:
- d.#####.ijinshan.com/duba/link/grthKAVSETUPS_66_0.exe
- bo.###a.net:8080/pagetracer2/duba/__utm.gif?01#########################################################################################################################
UDP:
- DNS ASK d.#####.ijinshan.com
- DNS ASK bo.###a.net:8080
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
