Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-mpmt0.tmp\<Имя файла>.tmp
- %TEMP%\is-bs3ib.tmp\_isetup\_setup64.tmp
- %TEMP%\is-bs3ib.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-bs3ib.tmp\_isetup\_isdecmp.dll
- %TEMP%\is-bs3ib.tmp\commondll.dll
- %TEMP%\is-bs3ib.tmp\rlpihof.jpg
- %TEMP%\is-bs3ib.tmp\rlpiqyq.jpg
- %TEMP%\is-bs3ib.tmp\rlvm7jn.jpg
Сетевая активность
Подключается к
- '12#.#5.106.216':80
TCP
Запросы HTTP GET
- http://pv.#ohu.com/cityjson
- http://t.#n/RLPiHOf
- http://t.#n/RLPiQYq
- http://t.#n/RLvM7jN
- http://ww#.#inaimg.cn/large/7185bdf1gw1etl88uimh4j20e7098dge.jpg
UDP
- DNS ASK in#.###ol.sina.com.cn
- DNS ASK pv.#ohu.com
- DNS ASK t.#n
- DNS ASK ww#.#inaimg.cn
Другое
Ищет следующие окна
- ClassName: '' WindowName: '<Имя файла>'
- ClassName: '' WindowName: 'Setup'
- ClassName: '' WindowName: 'kstp'
Создает и запускает на исполнение
- '%TEMP%\is-mpmt0.tmp\<Имя файла>.tmp' /SL5="$E0204,223659,73216,<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /c copy/b %TEMP%\is-BS3IB.tmp\tbbrzfqhpq_1202000031.exe+%WINDIR%\Fonts\simsun.ttc %TEMP%\is-BS3IB.tmp\tbbrzfqhpq_1202000031.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c copy/b %TEMP%\is-BS3IB.tmp\install1078565.exe+%WINDIR%\Fonts\simsun.ttc %TEMP%\is-BS3IB.tmp\install1078565.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy/b %TEMP%\is-BS3IB.tmp\tbbrzfqhpq_1202000031.exe+%WINDIR%\Fonts\simsun.ttc %TEMP%\is-BS3IB.tmp\tbbrzfqhpq_1202000031.exe
- '%WINDIR%\syswow64\cmd.exe' /c copy/b %TEMP%\is-BS3IB.tmp\install1078565.exe+%WINDIR%\Fonts\simsun.ttc %TEMP%\is-BS3IB.tmp\install1078565.exe
