Техническая информация
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Temp\cron.db
- %HOMEPATH%\Temp\__qbs__
- %HOMEPATH%\Temp\__mdf_
- %HOMEPATH%\Temp\check.php
- %HOMEPATH%\Temp\install.php
- %PROGRAM_FILES%\Temp\spart
- <SYSTEM32>\Temp\__bst_
- <SYSTEM32>\Temp\ups__
- <SYSTEM32>\Temp\sv
- %APPDATA%\Temp\a7984.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\cron.db
Удаляет следующие файлы:
- %HOMEPATH%\Temp\__qbs__
- <SYSTEM32>\Temp\sv.exe
- %HOMEPATH%\Temp\__mdf_
- %HOMEPATH%\Temp\check.php
- %HOMEPATH%\Temp\install.php
- %PROGRAM_FILES%\Temp\spart
- <SYSTEM32>\Temp\__bst_
- <SYSTEM32>\Temp\ups__
- <SYSTEM32>\Temp\sv
- %APPDATA%\Temp\a7984.tmp
Перемещает следующие файлы:
- %HOMEPATH%\Temp\cron.db в %HOMEPATH%\cron.db
Сетевая активность:
Подключается к:
- 'www.dz##a.com':80
- '22#.#34.3.239':80
- 'up####.dzpia.com':80
TCP:
Запросы HTTP GET:
- up####.dzpia.com/jscript5//cron.db
- www.dz##a.com/jscript5/install.php?ma###################
- www.dz##a.com/jscript5/check.php?ma###################
- up####.dzpia.com/jscript5//sbstlive.dll
- up####.dzpia.com/jscript5//robstv.exe
- 22#.#34.3.239/vc/vc17.exe
UDP:
- DNS ASK www.dz##a.com
- DNS ASK up####.dzpia.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
