Техническая информация
- [<HKLM>\SOFTWARE\Classes\RagSkill Save File\Shell\open\command] '' = '"<Полный путь к вирусу>" "%1"'
- <SYSTEM32>\dumprep.exe 2888 -dm 7 7 %TEMP%\WERa49a.dir00\<Имя вируса>.exe.hdmp 16325836412027408
- <SYSTEM32>\dumprep.exe 2888 -dm 7 7 %TEMP%\WERa49a.dir00\<Имя вируса>.exe.mdmp 16325836412027396
- %TEMP%\WERa49a.dir00\<Имя вируса>.exe.hdmp
- %TEMP%\WERa49a.dir00\appcompat.txt
- %TEMP%\WERa49a.dir00\manifest.txt
- %TEMP%\WERa49a.dir00\<Имя вируса>.exe.mdmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ragskill[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ragskill_notice[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ragskill[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ragskill_notice[1].php
- 'ch##ywa.com':80
- ch##ywa.com/ragsim/ragskill_notice.php?la#####
- ch##ywa.com/ragsim/ragskill.php?au####################
- DNS ASK ch##ywa.com