Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 60 127.0.0.1
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.gz###jun.com.cn/
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoInternetIcon' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\3758f.tmp
- %TEMP%\38d9c.tmp
- %TEMP%\Z5AKTV.cmd
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\gzjunjun.com[1]
- %PROGRAM_FILES%\Internet Explorer\IEXPL0RE.EXE
- %ALLUSERSPROFILE%\Desktop\Intenret Explorer.exe
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Жф¶Ї Intenret Explorer дЇААЖч.lnk
Удаляет следующие файлы:
- %TEMP%\3758f.tmp
Сетевая активность:
Подключается к:
- 'www.gz###jun.com.cn':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.gz###jun.com.cn/ieupdate/ver.txt
- www.gz###jun.com.cn/
UDP:
- DNS ASK www.gz###jun.com.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Progman' WindowName: 'Program Manager'
