Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2012-06-27 12-44-50 781.bat" "
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.6d##u.com /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2012-06-27 12-44-52 718.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2012-06-27 12-44-51 625.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\РЮёґIE.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2012-06-27 12-44-43 921.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2012-06-27 12-44-50 484.bat" "
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.6d##u.com /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\2012-06-27 12-44-50 484.bat
- %TEMP%\2012-06-27 12-44-50 781.bat
- %HOMEPATH%\Favorites\ПЙУт.url
- %HOMEPATH%\Favorites\µ±µ±Нш.url
- %HOMEPATH%\Favorites\МФ±¦Нш.url
- %TEMP%\2012-06-27 12-44-51 625.bat
- %HOMEPATH%\Desktop\╠╘▒ж═°.url
- %HOMEPATH%\Desktop\╔╧═°╡╝║╜.url
- %HOMEPATH%\Desktop\Internet Exp1orer.URL
- %HOMEPATH%\Desktop\╧╔╙Є.URL
- %TEMP%\2012-06-27 12-44-52 718.bat
- %PROGRAM_FILES%\РЎУОП·\РЎУОП·tmp.exe
- %PROGRAM_FILES%\РЎУОП·\РЎУОП·.exe
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Exp1orer.URL
- %TEMP%\2012-06-27 12-44-43 921.bat
- %TEMP%\РЮёґIE.bat
- %PROGRAM_FILES%\РЎУОП·\Uninstall.exezip
- %PROGRAM_FILES%\РЎУОП·\dangdangwang.ico
- %PROGRAM_FILES%\РЎУОП·\xianyu.ico
- %PROGRAM_FILES%\РЎУОП·\baidu.ico
- %PROGRAM_FILES%\РЎУОП·\Uninstall.exe
- %PROGRAM_FILES%\РЎУОП·\taobao.ico
Сетевая активность:
Подключается к:
- 'so#.5k5.net':80
TCP:
Запросы HTTP GET:
- so#.5k5.net/interface?ac##################################################
UDP:
- DNS ASK so#.5k5.net
