Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\MsUpdateTask.job
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' /s "%WINDIR%\winse3.dll",SendStatisticDataOnInstall
- '<SYSTEM32>\rundll32.exe' /s "%WINDIR%\winse3.dll",UpdateIFEOInfo
- '<SYSTEM32>\rundll32.exe' "%WINDIR%\winse3.dll",CloseExistedDllByRundll32 %WINDIR%\winse3.dll
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\winse3.dll
- %TEMP%\nsz2.tmp
Сетевая активность:
Подключается к:
- 'to##.kaola.cn':80
TCP:
Запросы HTTP POST:
- to##.kaola.cn/toolPage/toolSn.jsp
UDP:
- DNS ASK to##.kaola.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
