Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe url.dll,FileProtocolHandler http://www.ww##8.com/
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.yy##.net/
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ww158[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mh83[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\102[1].html
- <SYSTEM32>\SuperEC_Hook.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ts[1].txt
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mh83[1]
Сетевая активность:
Подключается к:
- 'www.ww##8.com':80
- 'www.mh##.com':80
- 'localhost':1043
- 'hi.##idu.com':80
- 'localhost':1037
- 'www.yy##.net':80
TCP:
Запросы HTTP GET:
- www.ww##8.com/
- www.mh##.com/
- www.yy##.net/cf/102.html
- hi.##idu.com/new/xjp0595
- www.ww##8.com/ts.txt
UDP:
- DNS ASK www.mh##.com
- DNS ASK www.to###iwg.com
- DNS ASK www.ww##8.com
- DNS ASK hi.##idu.com
- DNS ASK www.yy##.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
