Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\3404.tmp
- %TEMP%\6d05.tmp
- %TEMP%\6c96.tmp
- D:\tmp\180ðçГõ±ùñ©ºï»÷\180ðçГõ±ùñ©ºï»÷[¸ß¶ë].exe
- D:\tmp\180ðçГõ±ùñ©ºï»÷\180ðçГõ±ùñ©ºï»÷.exe
- %TEMP%\2ifal1h5k5.bak
- %TEMP%\3a1b.tmp
- %TEMP%\6d34.tmp
- %TEMP%\39eb.tmp
- %TEMP%\2d4a.tmp
- %TEMP%\2d0b.tmp
- %TEMP%\2c9c.tmp
- %TEMP%\qjs20vv3j5.bak
- %TEMP%\34d1.tmp
- %TEMP%\3482.tmp
- %TEMP%\398d.tmp
- %HOMEPATH%\desktop\180ðçГõ±ùñ©ºï»÷[¸ß¶ë].lnk
Удаляет следующие файлы
- %TEMP%\3404.tmp
- %TEMP%\3482.tmp
- %TEMP%\34d1.tmp
- %TEMP%\2c9c.tmp
- %TEMP%\2d0b.tmp
- %TEMP%\2d4a.tmp
- %TEMP%\398d.tmp
- %TEMP%\39eb.tmp
- %TEMP%\3a1b.tmp
- %TEMP%\6c96.tmp
- %TEMP%\6d05.tmp
- %TEMP%\6d34.tmp
Перемещает следующие файлы
- %TEMP%\qjs20vv3j5.bak в %TEMP%\126700951
- %TEMP%\2ifal1h5k5.bak в %TEMP%\759852876
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\1319656\....\temporaryfile
Сетевая активность
TCP
Запросы HTTP GET
- http://www.wx###9.com:8150/upate80.txt?14##### via wx##29.com
- http://www.wx###9.com:8150/LoginTool.exe?53##### via wx##29.com
- http://www.wx###9.com:8150/upate80.txt?51##### via wx##29.com
- http://www.wx###9.com:8150/upate80.txt?88##### via wx##29.com
- http://dn#.##nwg.com:689/GameHey.txt?70##### via dn#.#anwg.com
- http://dn#.##nwg.com:689/qw78yqjinz.zip?99##### via dn#.#anwg.com
UDP
- DNS ASK wx##29.com
- DNS ASK dn#.#anwg.com
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: 'Program Manager'
Создает и запускает на исполнение
- 'D:\tmp\180ðçГõ±ùñ©ºï»÷\180ðçГõ±ùñ©ºï»÷.exe'
