Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'vv' = '<SYSTEM32>\rundll32.exe "%TEMP%\YtX9p3fc\Killeds.dll",gPack'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'xinlen' = '%TEMP%\YtX9p3fc8M\YtX9p3fc8M.exe'
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'FileMonClass', WindowName: ''
- %TEMP%\YtX9p3fc8M\YtX9p3fc8M.exe
- %TEMP%\YtX9p3fc\Killeds.dll
- %TEMP%\YtX9p3fc\YtX9p3fc.exe
- <Полный путь к файлу>
- 'bl##.#ina.com.cn':80
- 'r.###gyou.com':80
- http://bl##.#ina.com.cn/u/5617029699
- http://r.###gyou.com/fcg-bin/cgi_get_portrait.fcg?ui#############
- DNS ASK bl##.#ina.com.cn
- DNS ASK r.###gyou.com
- DNS ASK gm#.#hnlab.com
- ClassName: '18467-41' WindowName: ''
- '%TEMP%\YtX9p3fc8M\YtX9p3fc8M.exe'
- '%TEMP%\YtX9p3fc\YtX9p3fc.exe'
- '<SYSTEM32>\cmd.exe' /c del "<Полный путь к файлу>"
- '<SYSTEM32>\rundll32.exe' "%TEMP%\YtX9p3fc\Killeds.dll",gPack