Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Kingsoft Antivirus WebShield Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\Application Data\WD\KSWebShield.exe -start -install
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c """%TEMP%\temp_tmp.bat"" "
- <SYSTEM32>\attrib.exe "%ALLUSERSPROFILE%\Desktop\Internat Explorar" +s
- <SYSTEM32>\cmd.exe /c ""%ALLUSERSPROFILE%\Application Data\wd\co.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Desktop\Internat Explorar\Desktop.ini
- %ALLUSERSPROFILE%\Application Data\WD\KWSSVC.log
- %WINDIR%\tbgw.ico
- %TEMP%\nsy3.tmp\AccessControl.dll
- %HOMEPATH%\Favorites\МФ ±¦ Нш №є.lnk
- %TEMP%\temp_tmp.bat
- %ALLUSERSPROFILE%\Desktop\Internat Explorar\target.lnk
- %ALLUSERSPROFILE%\Desktop\МФ ±¦ Нш №є.lnk
- %ALLUSERSPROFILE%\Application Data\kingsoft\kws\kws.ini
- %ALLUSERSPROFILE%\Application Data\WD\KSWebShield.exe
- %ALLUSERSPROFILE%\Application Data\WD\co.bat
- %TEMP%\nsn2.tmp
- %TEMP%\nsy3.tmp\FindProcDLL.dll
- %ALLUSERSPROFILE%\Application Data\WD\kwssp.dll
- %ALLUSERSPROFILE%\Application Data\WD\kwsui.dll
- %ALLUSERSPROFILE%\Application Data\WD\kswbc.dll
- %ALLUSERSPROFILE%\Application Data\WD\kswebshield.dll
Удаляет следующие файлы:
- %TEMP%\nsy3.tmp\FindProcDLL.dll
- %TEMP%\nsy3.tmp\AccessControl.dll
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'kws::OSUCWindowClass' WindowName: ''
