Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\KAVSETUPS_66_106046.exe'
- 'C:\KAVSETUPS_66_106046.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "<Текущая директория>\123.VBS"
- '<SYSTEM32>\ping.exe' -n 3 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\QvodSetup5.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\KAVSETUPS_66_106046.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ksbinstaller_s_66_76853[1].exe
- C:\ksbinstaller_s_66_76853.exe
- %TEMP%\1.tmp\QvodSetup5.bat
- <Текущая директория>\123.VBS
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\KAVSETUPS_66_106046[1].exe
Сетевая активность:
Подключается к:
- 'd.#####.ijinshan.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- d.#####.ijinshan.com/liebao/link/ksbinstaller_s_66_76853.exe
- d.#####.ijinshan.com/duba/link/KAVSETUPS_66_106046.exe
UDP:
- DNS ASK d.#####.ijinshan.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
