Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\QQ.exe'
- '<Текущая директория>\ctfmon.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\man4.bat"
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\man3.bat"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\man3.bat
- %WINDIR%\Fonts\ttf206.ttf
- %TEMP%\man4.bat
- %WINDIR%\Fonts\com206.ttf
- %TEMP%\nsa2.tmp\System.dll
- <Текущая директория>\ctfmon.exe
- <Текущая директория>\QQ.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Fonts\com206.ttf
- %WINDIR%\Fonts\ttf206.ttf
- <Текущая директория>\ctfmon.exe
- <Текущая директория>\QQ.exe
Удаляет следующие файлы:
- %TEMP%\nsa2.tmp\System.dll
Сетевая активность:
Подключается к:
- 'www.jl##e.com':9161
- 'www.jl##e.com':9903
- 'o.##jnl.com':80
TCP:
Запросы HTTP GET:
- o.##jnl.com/tblm/Count.asp?ve###########################################
- o.##jnl.com/tj/tongji/Count.asp?ve###########################################
UDP:
- DNS ASK www.jl##e.com
- DNS ASK o.##jnl.com
