Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\Restart.bat
- '%WINDIR%\regedit.exe' /S "%WINDIR%\1.reg"
- '<SYSTEM32>\regsvr32.exe' "C:\ZCB\ОТИГДгФЩµЇНшХѕ!Ьі...dll" /s
Изменения в файловой системе:
Создает следующие файлы:
- C:\ZCB\іхКј»ЇК§°ЬУТјьТФ№ЬАнФ±Йн·ЭФЛРРґЛОДјю.bat
- <Текущая директория>\Restart.bat
- C:\ZCB\ОТИГДгФЩµЇНшХѕ!Ьі...dll
- %WINDIR%\1.reg
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\376924098.ys168[1]
Сетевая активность:
Подключается к:
- '12#.#25.114.144':80
- 'localhost':1040
- 'localhost':1036
- '37####098.ys168.com':80
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/s/1nt6wXTJ
- 37####098.ys168.com/
UDP:
- DNS ASK c.##zcb.com
- DNS ASK pa#.#aidu.com
- DNS ASK 37####098.ys168.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
