Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DD20621B-4285-4D3F-ABDF-98AFB552ED5B}] 'Exec' = 'http://ring.9189.com/index.html?pid=11&mid=21791&channel=1&extra=-1'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E32C4654-8650-42E3-AD1C-9597BF7D32B1}] 'Exec' = 'http://www.baidu.com/index.php?tn=qdsjr_dg'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B3F38EFC-CE02-4F11-9DB7-67C2BE490337}] 'Exec' = 'http://www.qd89.com'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\wbem\baidubar.exe'
- [<HKLM>\SOFTWARE\Microsoft\Internet Explorer\Extensions\{35871651-58D1-4D0C-84CB-D0F1D0940CAA}] 'Exec' = 'http://www.qd67.com'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\patch123.exe'
- '<Текущая директория>\Config\AutoUpdate.exe' \p "<Текущая директория>\patch123.exe" \s "http://to####.qqceo.net/ctupdateinfo.txt" \v "1.0.19.1116"
- '<SYSTEM32>\wbem\baidubar.exe'
- '%PROGRAM_FILES%\Baidu\AddressBar\ASBarBroker.exe' -RegServer
- '<Текущая директория>\Config\AutoUpdate.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cacls.exe' %HOMEPATH%\Start Menu\Programs\Internet Explorer.lnk /d everyone
- '<SYSTEM32>\cacls.exe' %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶Ї Internet Explorer дЇААЖч.lnk /d everyone
- '<SYSTEM32>\cacls.exe' %ALLUSERSPROFILE%\Start Menu\Programs\Internet Explorer.lnk /d everyone
- '%WINDIR%\regedit.exe' /s %TEMP%\qdal.reg
- '<SYSTEM32>\cacls.exe' %HOMEPATH%\Desktop\Internet Explorer.lnk /d everyone
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- %TEMP%\aut13.tmp
- %PROGRAM_FILES%\Baidu\AddressBar\ASBarBroker.exe
- %PROGRAM_FILES%\Baidu\AddressBar\AddressBar.dll
- %PROGRAM_FILES%\Baidu\AddressBar\AddressBar_Tmp\AddressBar.dll
- %TEMP%\aut10.tmp
- %TEMP%\autF.tmp
- %TEMP%\aut12.tmp
- %TEMP%\aut11.tmp
- %TEMP%\aut14.tmp
- <Текущая директория>\Config\main.xml
- <Текущая директория>\patch123.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\qqct[1].htm
- <Текущая директория>\Config\AutoUpdate.exe
- %TEMP%\aut17.tmp
- %TEMP%\aut15.tmp
- %ALLUSERSPROFILE%\Start Menu\Programs\Internet Explorer.lnk
- %TEMP%\aut16.tmp
- %HOMEPATH%\Start Menu\Programs\Internet Explorer.lnk
- %TEMP%\nsuD.tmp
- %TEMP%\aut4.tmp
- <SYSTEM32>\wbem\baidubar.exe
- %TEMP%\aut5.tmp
- <SYSTEM32>\wbem\ie.ico
- %TEMP%\aut3.tmp
- %TEMP%\Ot
- %TEMP%\aut1.tmp
- %TEMP%\qdal.reg
- %TEMP%\aut2.tmp
- <SYSTEM32>\wbem\mv.ico
- %TEMP%\autB.tmp
- %TEMP%\aut9.tmp
- %TEMP%\autE.tmp
- %TEMP%\autC.tmp
- %TEMP%\aut8.tmp
- <SYSTEM32>\wbem\shop.ico
- %TEMP%\aut6.tmp
- <SYSTEM32>\wbem\bd.ico
- %TEMP%\aut7.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\patch123.exe
Удаляет следующие файлы:
- %TEMP%\aut10.tmp
- %TEMP%\aut11.tmp
- %TEMP%\autF.tmp
- %TEMP%\autC.tmp
- %TEMP%\autE.tmp
- %TEMP%\aut12.tmp
- %TEMP%\aut16.tmp
- %TEMP%\aut17.tmp
- %TEMP%\aut15.tmp
- %TEMP%\aut13.tmp
- %TEMP%\aut14.tmp
- %TEMP%\autB.tmp
- %TEMP%\aut3.tmp
- %TEMP%\qdal.reg
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- %TEMP%\Ot
- %TEMP%\aut4.tmp
- %TEMP%\aut8.tmp
- %TEMP%\aut9.tmp
- %TEMP%\aut7.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut6.tmp
Сетевая активность:
Подключается к:
- 'www.qq##o.net':80
- 'to####.qqceo.net':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- www.qq##o.net/qqct.htm
- to####.qqceo.net/AutoUpdate.exe
UDP:
- DNS ASK www.qq##o.net
- DNS ASK to####.qqceo.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
