Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\adb.url
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\sdqlyk \dwm.exe'
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' localgroup %USERNAME%s style$ /add
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 1
- '<SYSTEM32>\reg.exe' ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
- '<SYSTEM32>\net1.exe' user style$ www.hk##33.com /add
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\22c94.tmp
- %TEMP%\22a33.tmp
- %WINDIR%\sdqlyk \dwm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\sdqlyk \dwm.exe
- %TEMP%\22c94.tmp
- %TEMP%\22a33.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'r.###ne.qq.com':80
- 'localhost':1038
- 'q2#####0007.f3322.org':6000
TCP:
Запросы HTTP GET:
- r.###ne.qq.com/cgi-bin/user/cgi_personal_card?ui##
UDP:
- DNS ASK r.###ne.qq.com
- DNS ASK q2#####0007.f3322.org
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'sdqlisagoodsoftware39489'
