Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\YahooStartertemp.exe' %TEMP%\YahooStarter_138.exe
- '%TEMP%\YahooStarter_138.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c \DelUS.bat
Изменения в файловой системе:
Создает следующие файлы:
- C:\DelUS.bat
- %APPDATA%\YahooStartertemp.exe
- %TEMP%\tempfile.dat
- %TEMP%\nsr2.tmp\DLLWebCount.dll
- %TEMP%\YahooStarter_138.exe
- %TEMP%\nsr2.tmp\SelfDelete.dll
Удаляет следующие файлы:
- %TEMP%\YahooStarter_138.exe
- %TEMP%\nsr2.tmp\SelfDelete.dll
- %TEMP%\nsr2.tmp\DLLWebCount.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'st###.funtvi.kr':80
- 'localhost':1040
- '22#.#22.140.75':80
TCP:
Запросы HTTP GET:
- st###.funtvi.kr/receive/DownCountReceive.php?no###############################
- 22#.#22.140.75/request/count.php?mo####################
UDP:
- DNS ASK st###.funtvi.kr
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
