Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\knamqh_70716.exe'
- '%TEMP%\yydwd_30629.exe'
- '%TEMP%\knamqh_70716.exe' (загружен из сети Интернет)
- '%TEMP%\yydwd_30629.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\knamqh_70716.exe
- %TEMP%\yydwd_30629.exe
Сетевая активность:
Подключается к:
- '11#.#9.163.73':80
- '12#.#25.114.144':80
TCP:
Запросы HTTP GET:
- 11#.#9.163.73/tj/api.php?ma###############################
- 12#.#25.114.144/index/minidownload/70716
- 12#.#25.114.144/index/minidownload/30629
UDP:
- DNS ASK do#####ds.t3nlink.com
- DNS ASK www.91##ok.com
- DNS ASK kc#.##invying.net
- DNS ASK dl.##andiyd.com
- DNS ASK dl.##ypin.com
- DNS ASK do####ad.035668.com
- DNS ASK we####.baidu.com
- DNS ASK sh###.baidu.com
- DNS ASK lm.##ilequ.com
- DNS ASK bo###wn.gtui.cn
- DNS ASK do##.u5c.net
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '<Имя вируса>.exe'
