・ProcKill-EUが実行されると、以下の場所に自身をコピーします。
- %WinDir%\system\svhost.exe
・リモートサイト「Chi.[削除].pl」に接続し、以下の場所に悪質なファイルをダウンロードします。
- %WinDir%\Tasks\safetravbo.exe
・また、リモートポート80を介してリモートサイト「b.db[削除].com」に接続し、以下の場所に構成ファイルをダウンロードします。
- %WinDir%\Fonts\lanjica.ini
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\]
"Command\:" = "C:\Program Files\Internet Explorer\iexplore.exe" http://www.07[削除].com/"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\]
"360safetray:" = "C:\WINDOWS\system\svhost.exe"
・上記のレジストリ項目により、Windowsにログオンされるたびに自身を実行できるようにするRUN項目を登録します。
・構成ファイルを使用し、以下のレジストリ値を改変してInternet Explorerのホームページを変更します。
[HKEY_USERS\S-1-(不定)\Software\Microsoft\Internet Explorer\Main\]
"Start Page:" = http://www.07[削除].com
・以下のフォルダがシステムに追加されます。
- %SystemDrive%\kfnainfs.exe
・HOSTSファイルを改変し、以下のURLからIPへのマッピングを組み込みます。
- 127.0.0.1 localhost
- 127.0.0.1 rsup10.risi[削除].com.cn
- 127.0.0.1 cloudinfo.ris[削除].com.cn
- 127.0.0.1 go.ris[削除].com.cn
- 127.0.0.1 f.36[削除].cn
- 127.0.0.1 www.114bai[削除].com
- 127.0.0.1 qup.f.36[削除].cn
- 127.0.0.1 down.langlang[削除].com
- 127.0.0.1 1232355.8[削除].org
- 127.0.0.1 www.878[削除].cn
- 127.0.0.1 www.889s[削除].cn
- 127.0.0.1 ddd.ds[削除].cn
- 127.0.0.1 img.do[削除].com
- 127.0.0.1 www.dy[削除].com
- 127.0.0.1 ok3.114g[削除].com
- 127.0.0.1 ok1.114ol[削除].com
- 127.0.0.1 down.114graph.com
- 127.0.0.1 wwry.ch[削除].com
- 127.0.0.1 111.ch[削除].com
- 127.0.0.1 wwry.ch[削除].com
- 127.0.0.1 ry.ch[削除].com
- 127.0.0.1 3s.8[削除].com
・ユーザのシステムの乗っ取り後、さまざまな広告を表示する以下のサイトに接続します。
[%WinDir%はWindowsフォルダ(例:c:\Windows)、%ProgramFiles%はC:\Program Files、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
