Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\CLSID\{D66AA238-CE8B-422d-ABE3-AD40B8F5780F}\Shell\Open\Command] '' = 'explorer.exe "http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_13899908_0_0&eventid=101329"'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /S %WINDIR%\taobaobao.ini
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\getimage[1].08195873128320385
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\wowuge.ys168[1]
- %WINDIR%\taobaobao.ico
- %WINDIR%\qb.htm
- %WINDIR%\taobaobao.ini
Сетевая активность:
Подключается к:
- 'wo####.ys168.com':80
- 'pt###in2.qq.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- wo####.ys168.com/
- pt###in2.qq.com/getimage?ai##############################
UDP:
- DNS ASK wo####.ys168.com
- DNS ASK pt###in2.qq.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
