Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:360安全卫士-安装'
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\{7B8B7B36-3C5B-4208-BF97-FED86F447B63}.tmp
- %TEMP%\{0E3E25BF-41F1-4375-854D-C842ACE6458A}.tmp
- %TEMP%\{538A5834-9B6C-4b3b-873E-AC3C4DD6A770}.tmp
- %TEMP%\{A07CE998-2E5C-45b9-8662-FD0EA6C658F1}.tmp\360P2SP.dll
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- %TEMP%\{538A5834-9B6C-4b3b-873E-AC3C4DD6A770}.tmp
Сетевая активность:
Подключается к:
- '22#.#81.141.113':80
TCP:
Запросы HTTP GET:
- 22#.#81.141.113/index.html
UDP:
- DNS ASK pi###.360.cn
- DNS ASK up####.360safe.com
- DNS ASK tr.#.360.cn
- DNS ASK ag#.#.360.cn
- DNS ASK st.#.360.cn
- 'tr.#.360.cn':80
- 'st.#.360.cn':3478
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
