Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ksbinstaller_s_66_59636.exe'
- 'C:\setups_66_66742.exe'
- '%TEMP%\1.tmp\123.exe'
- 'C:\KAVSETUPS_66_100050.exe'
- 'C:\setups_66_66742.exe' (загружен из сети Интернет)
- 'C:\KAVSETUPS_66_100050.exe' (загружен из сети Интернет)
- 'C:\ksbinstaller_s_66_59636.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\1.tmp\123.vbs"
- '<SYSTEM32>\ping.exe' -n 3 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\setup.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\ksbinstaller_s_66_59636.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ksbinstaller_s_66_59636[1].exe
- C:\setups_66_66742.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\jump[1].php
- C:\KAVSETUPS_66_100050.exe
- %TEMP%\1.tmp\123.exe
- %TEMP%\1.tmp\setup.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\jump[1].php
- %TEMP%\1.tmp\123.VBS
Удаляет следующие файлы:
- %TEMP%\1.tmp\setup.bat
Сетевая активность:
Подключается к:
- 'd.#####.ijinshan.com':80
- 'j.#####.ijinshan.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- d.#####.ijinshan.com/liebao/link/ksbinstaller_s_66_59636.exe
- j.#####.ijinshan.com/jump.php?u_##########
UDP:
- DNS ASK d.#####.ijinshan.com
- DNS ASK j.#####.ijinshan.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
