- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Техническая информация.
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
Код:
[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
'%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe' = '%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe:*:Enabled:Tencent Download Program'
Создает и запускает на исполнение:
CMD/BATCH:
'%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe' ##CMD=1;supplyid=1304;productname=腾讯电脑管家;target=1;cgi=http://c.##.qq.com/fcgi-bin/downurlquery?id#####################
Создает следующие файлы:
CMD/BATCH:
%APPDATA%\Tencent\QQDownload\3905207810\Setting\host.dat
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.ini
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.dll
%APPDATA%\Tencent\QQDownload\3905207810\Setting\p2pconfig.dat
%ALLUSERSPROFILE%\Application Data\Tencent\QQDownload\mediadlp.cch
%ALLUSERSPROFILE%\Application Data\Tencent\QQDownload\mediadl.cch
%APPDATA%\Tencent\QQPCMgr\BugReportRule.dat
%APPDATA%\Tencent\QQPCMgr\bugreport.exe
%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe
%APPDATA%\Tencent\QQPCMgr\Download\version.tdl
%ALLUSERSPROFILE%\Application Data\Tencent\Desktop\Global.db
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dlcore.dll
Удаляет следующие файлы:
CMD/BATCH:
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dlcore.dll
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.ini
%APPDATA%\Tencent\QQPCMgr\Download\version
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.dll
Перемещает следующие файлы:
CMD/BATCH:
%APPDATA%\Tencent\QQPCMgr\Download\version.tdl в %APPDATA%\Tencent\QQPCMgr\Download\version
Сетевая активность:
Подключается к:
Java:
'25#.#55.255.255':80
'xf.####-doctor.qq.com':443
'dt##.##l-quality.qq.com':80
'fs######onn-doctor.qq.com':443
'lo####p2p.qq.com':443
'fs#####-doctor.qq.com':443
TCP:
Запросы HTTP GET:
Запросы HTTP POST:
UDP:
JavaScript:
25#.#55.255.255/fcgi-bin/downurlquery?id###################################################################################################
Запросы HTTP POST:
JavaScript:
dt##.##l-quality.qq.com/urlquality/dtrp?v=#########################################
UDP:
JavaScript:
DNS ASK c.##.qq.com
DNS ASK dt##.##l-quality.qq.com
DNS ASK fs#####-doctor.qq.com
DNS ASK fs###.qq.com
DNS ASK fs######back-doctor.qq.com
DNS ASK ma####.#tl.desktop.qq.com
DNS ASK xf.####-doctor.qq.com
DNS ASK pd####doctor.qq.com
DNS ASK fs######onn-doctor.qq.com
DNS ASK cf#.#f.qq.com
DNS ASK fs#####rt-doctor.qq.com
DNS ASK dt##.#ingpin.qq.com
DNS ASK lo####p2p.qq.com
'any':0
'cf#.#f.qq.com':8090
'pd####doctor.qq.com':8000
Другое:
Ищет следующие окна:
C++:
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'LogView_qqpcmgr' WindowName: '(null)'