Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\what_you_say\be_youself\tooo_my_blooood.vbs"
- <SYSTEM32>\wbem\wmiadap.exe /R /T
- <SYSTEM32>\cmd.exe /c ""%PROGRAM_FILES%\what_you_say\be_youself\zapuskalka.bat" "
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\what_you_say\be_youself\come.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\what_you_say\be_youself\tooo_my_blooood.vbs
- %PROGRAM_FILES%\what_you_say\be_youself\alone_ndklokajos.olpo
- %PROGRAM_FILES%\what_you_say\be_youself\come_to_my_window.aga
- %PROGRAM_FILES%\what_you_say\be_youself\Uninstall.ini
- %PROGRAM_FILES%\what_you_say\be_youself\Uninstall.exe
- %PROGRAM_FILES%\what_you_say\be_youself\come.vbs
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %PROGRAM_FILES%\what_you_say\be_youself\zapuskalka.bat
- %PROGRAM_FILES%\what_you_say\be_youself\eto_trava_detka.ggg
- %PROGRAM_FILES%\what_you_say\be_youself\seduksenchuk.ico
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Перемещает следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini в <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.h в <SYSTEM32>\wbem\Performance\WmiApRpl.h
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '64.##.191.222':4321
- 'localhost':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
