Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Help\ffdy_384_2963.exe'
- '%WINDIR%\Help\ffdy_384_2963.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\591314[1]
Сетевая активность:
Подключается к:
- 'www.mo###ingge.com':80
- 'd.#####.ijinshan.com':80
- 'ff##.51web8.net':80
- 'localhost':1038
- '59##14.org':80
TCP:
Запросы HTTP GET:
- www.mo###ingge.com/download.aspx?ui#############
- d.#####.ijinshan.com/liebao/link/ksbinstaller_s_66_77414.exe
- 59##14.org/?so##
- ff##.51web8.net/ffdy_384_2963.exe
UDP:
- DNS ASK www.mo###ingge.com
- DNS ASK d.#####.ijinshan.com
- DNS ASK 59##14.org
- DNS ASK ff##.51web8.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
