Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\SearchSpy\SSups.exe' INSTALL
- '%PROGRAM_FILES%\SearchSpy\SSups.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\S2PMini\S2PMini.dll"
- '<SYSTEM32>\regsvr32.exe' /u /s ""
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\SearchSpy\SSups.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\GetSpyMedicVersion[1].html
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\SearchSpyUpdater[1].exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\SearchPackMini[1].dll
- %PROGRAM_FILES%\S2PMini\S2PMini.dll
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\GetSpyMedicVersion[1].html
Сетевая активность:
Подключается к:
- 'ax.###rchspy.co.kr':80
- 'fi##.##archspy.co.kr':80
TCP:
Запросы HTTP GET:
- ax.###rchspy.co.kr/data/GetSpyMedicVersion.html
- fi##.##archspy.co.kr/archive/SearchSpyUpdater.exe
- fi##.##archspy.co.kr/archive/SearchPackMini.dll
UDP:
- DNS ASK ax.###rchspy.co.kr
- DNS ASK fi##.##archspy.co.kr
