Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://yy.com/97051076
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\~DF4942725B09D65672.TMP
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\Content.IE5\YIF7DGLM\97051076[1]
- <LS_APPDATA>\Microsoft\Internet Explorer\imagestore\g1bfg6d\imagestore.dat
- <LS_APPDATA>\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{CB1CB569-50C1-11E4-B1F9-CF553F90C1F0}.dat
- %TEMP%\~DF54725AAEDF23EE5C.TMP
- <LS_APPDATA>\Microsoft\Internet Explorer\Recovery\High\Active\{CB1CB56B-50C1-11E4-B1F9-CF553F90C1F0}.dat
Сетевая активность:
Подключается к:
- '20#.#6.232.182':443
- 'yy.com':80
TCP:
Запросы HTTP GET:
- yy.com/97051076
UDP:
- DNS ASK ie#####t.microsoft.com
- DNS ASK ie#####e.microsoft.com
- DNS ASK ur#.##crosoft.com
- DNS ASK go.###rosoft.com
- DNS ASK yy.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
