Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'Explorer.exe <SYSTEM32>\expiorer.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\expiorer.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\ksbinstaller_s_66_42195.exe'
- '<SYSTEM32>\setups_66_44977.exe'
- '<SYSTEM32>\KAVSETUPS_66_66277.exe'
- '<SYSTEM32>\kuping_s_25485.exe'
- '<SYSTEM32>\ksbinstaller_s_66_42195.exe' (загружен из сети Интернет)
- '<SYSTEM32>\setups_66_44977.exe' (загружен из сети Интернет)
- '<SYSTEM32>\kuping_s_25485.exe' (загружен из сети Интернет)
- '<SYSTEM32>\KAVSETUPS_66_66277.exe' (загружен из сети Интернет)
Скрывает следующие процессы:
- <Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\expiorer.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Start Menu\Programs\Startup\expiorer.exe
- <SYSTEM32>\expiorer.exe
Сетевая активность:
Подключается к:
- 'j.#####.ijinshan.com':80
- 'dl.####n.ijinshan.com':80
TCP:
Запросы HTTP GET:
- dl.####n.ijinshan.com/liebao/link/ksbinstaller_s_66_42195.exe
- j.#####.ijinshan.com/jump.php?u_##########
- dl.####n.ijinshan.com/kuping/jm/kuping_s_25485.exe
UDP:
- DNS ASK j.#####.ijinshan.com
- DNS ASK dl.####n.ijinshan.com
