Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://ok.##aiso.com/?KL###############
- '<SYSTEM32>\regsvr32.exe' /s "%PROGRAM_FILES%\360safe\360safe.dll"
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\360safe\icons.bmp
- %PROGRAM_FILES%\360safe\kaka1.bmp
- %PROGRAM_FILES%\360safe\360safe.crc
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ok.kuaiso[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\gd_ad[1].html
- %PROGRAM_FILES%\360safe\kaka.bmp
- %PROGRAM_FILES%\360safe\360safe.dll
- %TEMP%\nsp2.tmp
- %PROGRAM_FILES%\360safe\basis.xml
- %PROGRAM_FILES%\360safe\tbhelper.dll
- %PROGRAM_FILES%\360safe\version.txt
Сетевая активность:
Подключается к:
- 'ok.##aiso.com':80
- 'to####ar.kuaiso.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- to####ar.kuaiso.com/online/360safe/version.txt
- ok.##aiso.com/?KL###############
- to####ar.kuaiso.com/gd_ad.html
UDP:
- DNS ASK ok.##aiso.com
- DNS ASK to####ar.kuaiso.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
