Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\laohu\so3d.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c c:\delus.bat
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen <Полный путь к вирусу>.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Recent\<Имя вируса>.exe.lnk
- %HOMEPATH%\Recent\bf32d3b0.lnk
- %HOMEPATH%\Desktop\МЪС¶Q Q.lnk
- %PROGRAM_FILES%\laohu\so3d.7z
- %PROGRAM_FILES%\laohu\so3d.exe
- C:\delus.bat
Удаляет следующие файлы:
- %PROGRAM_FILES%\laohu\so3d.7z
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\<Имя вируса>.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ni####bi.kmras.com':2015
UDP:
- DNS ASK ni####bi.kmras.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
