Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i9p1hbpu\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\en6v1fra\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\yvg1rcry\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\251r13c5\desktop.ini
- %WINDIR%\wg.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i9p1hbpu\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\en6v1fra\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\yvg1rcry\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\251r13c5\desktop.ini
Удаляет следующие файлы
- %WINDIR%\wg.txt
Подменяет следующие файлы
- %LOCALAPPDATA%\Microsoft\Windows\<INETFILES>\Content.IE5\desktop.ini
Сетевая активность
TCP
Запросы HTTP GET
- http://sa##.#wxww.net:820/wg.txt via sa##.ywxww.net
UDP
- DNS ASK sa##.ywxww.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 8' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 8
