Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe] 'debugger' = '"%ProgramFiles%\360\360safe\360Safe.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\findstr.exe' /m /c:"111.111.111.2 www.ba##u.com" "<DRIVERS>\etc\hosts"
- '<SYSTEM32>\taskkill.exe' /f /im 360sd.exe
- '<SYSTEM32>\at.exe' /delete /yes
- '<SYSTEM32>\ping.exe' -n 1 b-cn.8800.org
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\win32.office.bat""
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe" /v debugger /d """"%ProgramFiles%\360\360safe\360Safe.exe"""" /f
- '<SYSTEM32>\ping.exe' -n 1 g-cn.8800.org
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\bd.ico
- <Текущая директория>\a.txt
- <SYSTEM32>\sg.ico
- <SYSTEM32>\gg.ico
- %TEMP%\exe1.tmp
- %TEMP%\gg.ico
- %TEMP%\bd.ico
- %TEMP%\win32.office.bat
- %TEMP%\sg.ico
Удаляет следующие файлы:
- <Текущая директория>\a.txt
Подменяет следующие файлы:
- <Текущая директория>\a.txt
Изменяет файл HOSTS.
Сетевая активность:
UDP:
- DNS ASK b-##.8800.org
- DNS ASK g-##.8800.org
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
