Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] '360safetray' = '"<SYSTEM32>\win32.exe"'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\At2.job
- %WINDIR%\Tasks\At1.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\at.exe' 22:4 /every:T,Sa %WINDIR%\pat32.exe
- '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /va /f
- '<SYSTEM32>\reg.exe' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce /v 360safetray /d """"<SYSTEM32>\win32.exe"""" /f
- '<SYSTEM32>\at.exe' 11:4 /every:TH,Su %WINDIR%\pat32.exe
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\winnt32.bat""
- '<SYSTEM32>\ping.exe' -n 1 biso.cn
- '<SYSTEM32>\at.exe' /delete /yes
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\a.txt
- %TEMP%\exe1.tmp
- %TEMP%\winnt32.bat
Удаляет следующие файлы:
- <Текущая директория>\a.txt
Изменяет файл HOSTS.
Сетевая активность:
UDP:
- DNS ASK bi#o.cn
