Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\sogou_pinyin_60_5698.exe
- %TEMP%\sogou_pinyin_60_5698.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\regini.exe <SYSTEM32>\se2.ini
- <SYSTEM32>\regini.exe <SYSTEM32>\se1.ini
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Favorites\Links\淘宝网.url
- %TEMP%\aut5.tmp
- %ALLUSERSPROFILE%\Desktop\淘宝网.url
- %TEMP%\aut6.tmp
- %TEMP%\sogou_pinyin_60_5698.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sogou_pinyin_60_5698[1].zip
- %HOMEPATH%\Favorites\淘宝网.url
- %TEMP%\aut2.tmp
- <SYSTEM32>\se1.ini
- %TEMP%\aut1.tmp
- <SYSTEM32>\se2.ini
- %TEMP%\aut4.tmp
- <SYSTEM32>\taobao.ico
- %TEMP%\aut3.tmp
Удаляет следующие файлы:
- %TEMP%\aut4.tmp
- %TEMP%\aut3.tmp
- %TEMP%\aut6.tmp
- %TEMP%\aut5.tmp
- %TEMP%\aut2.tmp
- %TEMP%\aut1.tmp
- <SYSTEM32>\se2.ini
- <SYSTEM32>\se1.ini
Сетевая активность:
Подключается к:
- '63.##3.110.196':80
TCP:
Запросы HTTP GET:
- 63.##3.110.196/sogou_pinyin_60_5698.zip
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
