Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\ cnews.vbs
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\documents\ v.ps1
- %HOMEPATH%\musicp.exe
- %TEMP%\is-29lgt.tmp\musicp.tmp
- %TEMP%\is-qdq0j.tmp\_isetup\_setup64.tmp
- %TEMP%\is-qdq0j.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-qdq0j.tmp\rdzone.dll
- %TEMP%\is-qdq0j.tmp\setup.exe
- %TEMP%\is-qdq0j.tmp\iuinstaller\setup.exe
- %TEMP%\mpb.cfg.44076.7447659491.ini
Удаляет следующие файлы
- %TEMP%\is-29lgt.tmp\musicp.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://up####.iobit.com/infofiles/iu9/Freeware-iu9.upt
UDP
- DNS ASK up####.iobit.com
- DNS ASK dl.#####oxusercontent.com
- DNS ASK up######wsdate.myiphost.com
Другое
Ищет следующие окна
- ClassName: 'TFrmWizard' WindowName: ''
Создает и запускает на исполнение
- '%HOMEPATH%\musicp.exe'
- '%TEMP%\is-29lgt.tmp\musicp.tmp' /SL5="$20358,21914979,137216,%HOMEPATH%\MusicP.exe"
- '%TEMP%\is-qdq0j.tmp\iuinstaller\setup.exe' /setup "%HOMEPATH%\MusicP.exe" "" "/Ver=9.6.0.3"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windo 1 -noexit -exec bypass -file "%HOMEPATH%/Documents\ v.ps1"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ cnews.vbs"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -windo 1 -noexit -exec bypass -file "%HOMEPATH%/Documents\ v.ps1"
