Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- C:\PPTV.exe (загружен из сети Интернет)
- C:\FunshionInstall.exe (загружен из сети Интернет)
- %PROGRAM_FILES%\Project.exe
- %PROGRAM_FILES%\2011PP.exe
- %PROGRAM_FILES%\PPTV123.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.le##.com /f
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.le##.com /f
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\2345.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\1312611395_6634280_1284967193_20.fsp
- C:\PPTV.exe
- C:\FunshionInstall.exe
- %PROGRAM_FILES%\2345.bat
- %PROGRAM_FILES%\PPTV123.exe
- %PROGRAM_FILES%\2011PP.exe
- %PROGRAM_FILES%\Project.exe
Сетевая активность:
Подключается к:
- 'ne#####.funshion.com':80
- 'qq#####09.vpn.stftp.com':80
TCP:
Запросы HTTP GET:
- ne#####.funshion.com/download/silent/108988/FunshionInstall.exe
- qq#####09.vpn.stftp.com/PPTV.exe
UDP:
- DNS ASK ne#####.funshion.com
- DNS ASK qq#####09.vpn.stftp.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
