Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- C:\FunshionInstall.exe (загружен из сети Интернет)
- %PROGRAM_FILES%\Project.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.23##.com/?93## /f
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.23##.com/?93## /f
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\2345.bat" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\1310912320_23623226_1310191696_538.fsp
- C:\FunshionInstall.exe
- %PROGRAM_FILES%\Project.exe
- %PROGRAM_FILES%\2345.bat
Сетевая активность:
Подключается к:
- 'ne#####.funshion.com':80
TCP:
Запросы HTTP GET:
- ne#####.funshion.com/download/silent/105798/FunshionInstall.exe
UDP:
- DNS ASK ne#####.funshion.com
Другое:
Ищет следующие окна:
- ClassName: 'funshion_player_tzdenjohn' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
