Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'run' = '%PROGRAM_FILES%\haomake\run.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Haomake\smss.exe'
- '%PROGRAM_FILES%\Haomake\run.exe' /all
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Haomake\pushsum.dll
- %PROGRAM_FILES%\Haomake\WinPOP.dll
- %PROGRAM_FILES%\Haomake\smss.exe
- %PROGRAM_FILES%\Haomake\log.txt
- %PROGRAM_FILES%\Haomake\list.ini
- %PROGRAM_FILES%\Haomake\svchost.exe
- %PROGRAM_FILES%\Haomake\mever.ini
- %PROGRAM_FILES%\Haomake\install.dat
- %PROGRAM_FILES%\Haomake\res.dat
- %PROGRAM_FILES%\Haomake\HookIE.dll
- %PROGRAM_FILES%\Haomake\run.exe
Сетевая активность:
Подключается к:
- 'ad.#o118.cn':80
TCP:
Запросы HTTP GET:
- ad.#o118.cn/ad.php?ci##############
UDP:
- DNS ASK ad.#o118.cn
