Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\AllTypes\shell\open\command] '' = '"%WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.exe" "%1"'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\20110809\8u5yGDA25h5Pu85c\smss.exe
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.exe
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.vbs"
- %WINDIR%\regedit.exe /s regBHO.reg
- <SYSTEM32>\cmd.exe /c ""<Полный путь к вирусу>.bat" "
- <SYSTEM32>\regsvr32.exe /s XlKankan.dll
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\20110809\8u5yGDA25h5Pu85c\smss.exe.bat" "
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\20110809\5J25PYcr2iqaBIUP\script\Script.vbs.bat" "
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.exe.bat" "
- <SYSTEM32>\xcopy.exe /c /q /y /i XlKankan.dll <SYSTEM32>
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\20110809\5J25PYcr2iqaBIUP\script\reg.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\Script.vbs.bat
- %WINDIR%\userid.txt
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.exe.bat
- <Полный путь к вирусу>.bat
- <SYSTEM32>\XlKankan.dll
- %WINDIR%\20110809\8u5yGDA25h5Pu85c\smss.exe.bat
- %WINDIR%\20110809\8u5yGDA25h5Pu85c\smss.exe
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\reg.bat
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.vbs
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\script.exe
- %WINDIR%\tao.ico
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\XlKankan.dll
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\regBHO.reg
Удаляет следующие файлы:
- %WINDIR%\20110809\5J25PYcr2iqaBIUP\script\XlKankan.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'tj.##ppin.cn':80
TCP:
Запросы HTTP GET:
- tj.##ppin.cnhttp://tj.vippin.cn/api/work.aspx?cm########################################################################################################
UDP:
- DNS ASK tj.##ppin.cn
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
