Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\flashupdate.lnk
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\<Имя файла>.doc
- %TEMP%\dc006.exe
- %HOMEPATH%\FlashUpdate\FlashPlugin.exe
Удаляет следующие файлы:
- <Полный путь к файлу>
- %TEMP%\dc006.exe
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
- 'va##la.com':53
- 'va##la.com':443
- 'vi####nmonline.com':3128
UDP:
- DNS ASK www.microsoft.com
- DNS ASK va##la.com
- DNS ASK vi####nmonline.com
Другое:
Ищет следующие окна:
- ClassName: 'WordPadClass' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\dc006.exe'
- '%HOMEPATH%\FlashUpdate\FlashPlugin.exe' 200
Запускает на исполнение:
- '%ProgramFiles%\Windows NT\Accessories\wordpad.exe' "<Текущая директория>\<Имя файла>.doc"
- '<SYSTEM32>\cmd.exe' /c del <Полный путь к файлу> > nul
- '<SYSTEM32>\cmd.exe' /c del %TEMP%\dc006.exe > nul
