主进程(可以直接下载):
http删://www2.掉xiao删niu321掉.com:9002/jin/1/Y删ic.exe
http删://www2.掉xiao删niu321掉.com:9002/jin/1/Nidi删spla2.exe
此恶意软件,可以逃过主流杀软的检测(含360)
相关的域名(hosts):
powerservice.csii.com.cn
windows10.microdone.cn
www2.xiaoniu321.com
i2678.cc (iframe框架)
www.i2678.cc(iframe框架)
通过explorer启动下载Yic.exe到temp目录,并产生sTup.exe
影响:
任何浏览器直接绑定http://i2678.cc或http://www.i2678.cc
sTup.exe配置文件内容
[Config]
lkurls=http://i2678.cc;http://i2678.cc;http://i2678.cc;http://www.i2678.cc
brow=TSBrowser.exe;ChromeCore.exe
nbrow=
hdurl=
hdtm=
browul=360chrome.exe;360se.exe=http://i2678.cc|iexplore.exe;qqbrowser.exe=http://i2678.cc|2345Explorer.exe;2345chrome.exe=http://www.i2678.cc|ucbrowser.exe;firefox.exe;liebao.exe;maxthon.exe;baidubrowser.exe;sogouexplorer.exe;opera.exe;f1browser.exe;Juzi.exe;TaoBrowser.exe;Opera\launcher.exe;chrome.exe;TSBrowser.exe;ChromeCore.exe=http://i2678.cc
bsit1_3=http://www2.xiao删niu321.com:9002/jin/1/Yic.exe*sTup.exe*1000**0x02
bsit1_6=http://www2.xiao删niu321.com:9002/jin/1/Yic.exe*sTup.exe*1000**0x02
bsit2_3=http://www2.xiao删niu321.com:9002/jin/1/Nidispla2.exe*Nidispla2.exe*1000**0x02
bsit2_6=http://www2.xiao删niu321.com:9002/jin/1/Nidispla2.exe*Nidispla2.exe*1000**0x02
tbwk=1
|
|
|
|
评论
直达楼层