Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'softbox' = '<SYSTEM32>\softbox.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\bind_40222.exe
- %TEMP%\server.exe -install
- %TEMP%\softbox.exe
- %TEMP%\10008.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Internet Explorer\iedw.dll
- %TEMP%\temp1.exe
- %PROGRAM_FILES%\Windows Media Player\setup_wm.dll
- %PROGRAM_FILES%\Internet Explorer\hmmapi.exe
- %ALLUSERSPROFILE%\Application Data\Tencent\UserID.txt
- <SYSTEM32>\softbox.ini
- <SYSTEM32>\softbox.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\softbox[1].ini
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶Ї Internet Explorer дЇААЖч.lnk
- %PROGRAM_FILES%\Internet Explorer\Desktop.inf
- <SYSTEM32>\updatesoftbox.ini
- %TEMP%\nsc3.tmp
- %TEMP%\softbox.exe
- %TEMP%\bind_40222.exe
- %TEMP%\10008.exe
- %TEMP%\nsy5.tmp\NSISdl.dll
- %PROGRAM_FILES%\Windows Media Player\iedw.exe
- %TEMP%\iedw.dll
- %TEMP%\UserID.txt
- %TEMP%\server.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\Internet Explorer\Desktop.inf
Сетевая активность:
Подключается к:
- 'me##.ppmob.net':80
- 'fi##.#nionsms.net':80
TCP:
Запросы HTTP GET:
- me##.ppmob.net/softbox/softbox.ini
- fi##.#nionsms.net/kuzhan/kuzhansetup.exe
UDP:
- DNS ASK me##.ppmob.net
- DNS ASK fi##.#nionsms.net
