Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'hao567' = '%CommonProgramFiles%\Sogou.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Devices Manager] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\Sogou.exe'
- '<SYSTEM32>\Sougou.exe'
- '%WINDIR%\Temp\ahnlab.exe'
- '%WINDIR%\Temp\m.exe'
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /t /im iexplore.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1201' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\m.exe
- <SYSTEM32>\Sougou.exe
- %WINDIR%\Temp\ahnlab.exe
- %WINDIR%\Temp\ahnlab.ini
Удаляет следующие файлы:
- %CommonProgramFiles%\Sogou.exe
Перемещает следующие файлы:
- <SYSTEM32>\Sougou.exe в %CommonProgramFiles%\Sogou.exe
- %WINDIR%\Temp\m.exe в %CommonProgramFiles%\Sogou.exe
Сетевая активность:
Подключается к:
- '10#.#1.240.10':81
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '?? ?? ??'
- ClassName: '' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
