Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\360rp.exe (загружен из сети Интернет)
- %PROGRAM_FILES%\11.exe (загружен из сети Интернет)
- C:\Skeleton.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\JpgDll[1].dll
- %PROGRAM_FILES%\12.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\123[1].exe
- %PROGRAM_FILES%\360rp.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\360rp[1].exe
- %PROGRAM_FILES%\JpgDll.dll
- %PROGRAM_FILES%\11.exe
- %PROGRAM_FILES%\aaa.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\aaa[1].exe
- C:\Skeleton.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\11[1].exe
- C:\reg\v.vbs
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\a[1].exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\12.exe
- %PROGRAM_FILES%\JpgDll.dll
- %PROGRAM_FILES%\360rp.exe
- C:\Skeleton.exe
- %PROGRAM_FILES%\aaa.exe
- %PROGRAM_FILES%\11.exe
Сетевая активность:
Подключается к:
- 'www.zh###houdn.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.zh###houdn.com/moxing/123.exe
- www.zh###houdn.com/moxing/JpgDll.dll
- www.zh###houdn.com/moxing/360rp.exe
- www.zh###houdn.com/moxing/aaa.exe
- www.zh###houdn.com/moxing/a.exe
- www.zh###houdn.com/moxing/11.exe
UDP:
- DNS ASK www.zh###houdn.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: 'GINA Logon'
