Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nmnpps_1276.exe'
- '%TEMP%\KXWebBox_3459_RBF.exe'
- '%TEMP%\sonlinetime_1199.exe'
- '%TEMP%\CBSI232F.exe'
- '%TEMP%\365weatherIns_157.exe'
- '%TEMP%\knamqh_70716.exe'
- '%TEMP%\yydwd_30629.exe'
- '%TEMP%\yydwd_30629.exe' (загружен из сети Интернет)
- '%TEMP%\sonlinetime_1199.exe' (загружен из сети Интернет)
- '%TEMP%\CBSI232F.exe' (загружен из сети Интернет)
- '%TEMP%\knamqh_70716.exe' (загружен из сети Интернет)
- '%TEMP%\365weatherIns_157.exe' (загружен из сети Интернет)
- '%TEMP%\nmnpps_1276.exe' (загружен из сети Интернет)
- '%TEMP%\KXWebBox_3459_RBF.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nmnpps_1276.exe
- %TEMP%\CBSI232F.exe
- %TEMP%\sonlinetime_1199.exe
- %TEMP%\KXWebBox_3459_RBF.exe
- %TEMP%\yydwd_30629.exe
- %TEMP%\knamqh_70716.exe
- %TEMP%\365weatherIns_157.exe
Сетевая активность:
Подключается к:
- 'www.91##ok.com':80
- 'do####ad.035668.com':80
- '11#.#9.163.73':80
- 'do##.u5c.net':80
- '12#.#25.114.144':80
- 'lm.##ilequ.com':80
- 'bo###wn.gtui.cn':80
TCP:
Запросы HTTP GET:
- www.91##ok.com/CBSI232F.exe
- do##.u5c.net/nmnpps_1276.exe
- 11#.#9.163.73/tj/api.php?ma###############################
- do####ad.035668.com/onlinetime/sonlinetime_1199.exe
- 12#.#25.114.144/index/minidownload/70716
- 12#.#25.114.144/index/minidownload/30629
- bo###wn.gtui.cn/KXWebDown/KXWebBox_3459_RBF.exe
- lm.##ilequ.com/update/365/365weatherIns_157.exe
UDP:
- DNS ASK do#####ds.t3nlink.com
- DNS ASK do####ad.035668.com
- DNS ASK dl.##andiyd.com
- DNS ASK kc#.##invying.net
- DNS ASK dl.##ypin.com
- DNS ASK do##.u5c.net
- DNS ASK we####.baidu.com
- DNS ASK sh###.baidu.com
- DNS ASK lm.##ilequ.com
- DNS ASK www.91##ok.com
- DNS ASK bo###wn.gtui.cn
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '<Имя вируса>.exe'
