Trojan.DownLoader11.12771 (Tencent)

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
14,886
Реакции
6,796
Техническая информация.

Вредоносные функции:

Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
Код:
[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
'%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe' = '%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe:*:Enabled:Tencent Download Program'
Техническая информация

Создает и запускает на исполнение:

CMD/BATCH:
'%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe' ##CMD=1;supplyid=1304;productname=腾讯电脑管家;target=1;cgi=http://c.##.qq.com/fcgi-bin/downurlquery?id#####################
Изменения в файловой системе:

Создает следующие файлы:
CMD/BATCH:
%APPDATA%\Tencent\QQDownload\3905207810\Setting\host.dat
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.ini
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.dll
%APPDATA%\Tencent\QQDownload\3905207810\Setting\p2pconfig.dat
%ALLUSERSPROFILE%\Application Data\Tencent\QQDownload\mediadlp.cch
%ALLUSERSPROFILE%\Application Data\Tencent\QQDownload\mediadl.cch
%APPDATA%\Tencent\QQPCMgr\BugReportRule.dat
%APPDATA%\Tencent\QQPCMgr\bugreport.exe
%APPDATA%\Tencent\QQPCMgr\Download\SFX\QQPCDownload.exe
%APPDATA%\Tencent\QQPCMgr\Download\version.tdl
%ALLUSERSPROFILE%\Application Data\Tencent\Desktop\Global.db
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dlcore.dll

Удаляет следующие файлы:
CMD/BATCH:
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dlcore.dll
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.ini
%APPDATA%\Tencent\QQPCMgr\Download\version
%APPDATA%\Tencent\QQPCMgr\Download\SFX\dr.dll

Перемещает следующие файлы:
CMD/BATCH:
%APPDATA%\Tencent\QQPCMgr\Download\version.tdl в %APPDATA%\Tencent\QQPCMgr\Download\version

Сетевая активность:

Подключается к:
Java:
'25#.#55.255.255':80
'xf.####-doctor.qq.com':443
'dt##.##l-quality.qq.com':80
'fs######onn-doctor.qq.com':443
'lo####p2p.qq.com':443
'fs#####-doctor.qq.com':443


TCP:

Запросы HTTP GET:
JavaScript:
25#.#55.255.255/fcgi-bin/downurlquery?id###################################################################################################

Запросы HTTP POST:
JavaScript:
 dt##.##l-quality.qq.com/urlquality/dtrp?v=#########################################

UDP:
JavaScript:
DNS ASK c.##.qq.com
DNS ASK dt##.##l-quality.qq.com
DNS ASK fs#####-doctor.qq.com
DNS ASK fs###.qq.com
DNS ASK fs######back-doctor.qq.com
DNS ASK ma####.#tl.desktop.qq.com
DNS ASK xf.####-doctor.qq.com
DNS ASK pd####doctor.qq.com
DNS ASK fs######onn-doctor.qq.com
DNS ASK cf#.#f.qq.com
DNS ASK fs#####rt-doctor.qq.com
DNS ASK dt##.#ingpin.qq.com
DNS ASK lo####p2p.qq.com
'any':0
'cf#.#f.qq.com':8090
'pd####doctor.qq.com':8000

Другое:

Ищет следующие окна:
C++:
ClassName: 'Shell_TrayWnd' WindowName: '(null)'
ClassName: 'LogView_qqpcmgr' WindowName: '(null)'

 
Назад
Сверху Снизу