Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\services.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\RCX2.tmp
- %WINDIR%\SkinH_EL.dll
- %WINDIR%\services.exe
- %WINDIR%\services.exe{E8D1E692-B1A4-4f92-BFAE-BDE6AB78441E}
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\SkinH_EL.dll
Удаляет следующие файлы:
- %WINDIR%\services.exe{E8D1E692-B1A4-4f92-BFAE-BDE6AB78441E}
Перемещает следующие файлы:
- %WINDIR%\RCX2.tmp в %WINDIR%\services.exe{E8D1E692-B1A4-4f92-BFAE-BDE6AB78441E}
- %WINDIR%\services.exe в %TEMP%\_@1.tmp
Сетевая активность:
Подключается к:
- 'tm####.ys168.com':80
- 'tm###.ys168.com':80
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- tm####.ys168.com/
- tm###.ys168.com/
- 12#.#25.114.144/sqresxyrqmbmsyd/item/fabb7dc1cb1cc23e0ad93ac4
UDP:
- DNS ASK tm###.ys168.com
- DNS ASK tm####.ys168.com
- DNS ASK cf####bingkeji.com
- DNS ASK hi.##idu.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: 'YyFangYu.exe'
- ClassName: '' WindowName: 'yybox.exe'
