Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\<Имя файла>.exe
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- taskmgr.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\taskmgr.exe
- %APPDATA%\<Имя файла>.exe
- %TEMP%\pjldeqjt.0.vb
- %TEMP%\pjldeqjt.cmdline
- %TEMP%\pjldeqjt.out
- %TEMP%\vbc7667.tmp
- %TEMP%\res7668.tmp
- %APPDATA%\<Имя файла>1.exe
Удаляет следующие файлы
- %TEMP%\res7668.tmp
- %TEMP%\vbc7667.tmp
- %TEMP%\pjldeqjt.0.vb
- %TEMP%\pjldeqjt.out
- %TEMP%\pjldeqjt.cmdline
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'localhost':5105
Другое
Создает и запускает на исполнение
- '%APPDATA%\taskmgr.exe'
- '%APPDATA%\<Имя файла>1.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\pjldeqjt.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES7668.tmp" "%TEMP%\vbc7667.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\pjldeqjt.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES7668.tmp" "%TEMP%\vbc7667.tmp"
