Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\yu1a.exe (загружен из сети Интернет)
- <SYSTEM32>\config\1001a.exe (загружен из сети Интернет)
- <SYSTEM32>\config\31a.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\wscript.exe ""%TEMP%\6.vbs""
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\config\1001a.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\1001a[1].exe
- <SYSTEM32>\yu1a.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\yu1a[1].exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\31a[1].exe
- %TEMP%\6.vbs
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\tx56[1].asp
- <SYSTEM32>\config\31a.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\tx56[1].asp
Сетевая активность:
Подключается к:
- 'www.ae##e.cn':80
- 'www.kh#1.cn':80
- 'localhost':1038
- 'localhost':1036
- 'ww####qcn.y712.cn':80
TCP:
Запросы HTTP GET:
- www.kh#1.cn/xuke/a/1001a.exe
- ww####qcn.y712.cn/xuke/a/yu1a.exe
- ww####qcn.y712.cn/xuke/a/31a.exe
- www.ae##e.cn/xuke/bat/tx56.asp
UDP:
- DNS ASK www.kh#1.cn
- DNS ASK www.ae##e.cn
- DNS ASK ww####qcn.y712.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
