Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\e_n60005\krnln.fnr
- %TEMP%\e_n60005\exuikrnln.fne
- %TEMP%\e_n60005\spec.fne
- %TEMP%\e_n60005\shell.fne
- %TEMP%\e_n60005\dp1.fne
- %TEMP%\e_n60005\eapi.fne
- %TEMP%\e_n60005\iconv.fne
- %TEMP%\e_n60005\bmpoperate.fnr
- %TEMP%\e_n60005\iext.fnr
- %TEMP%\e_n60005\mp3.run
- <Текущая директория>\update.exe
- <Текущая директория>\skin.dll
- <Текущая директория>\update.tmp.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\skin.dll
Перемещает следующие файлы
- <Текущая директория>\update.tmp.tmp в <Текущая директория>\update.tmp
Подменяет следующие исполняемые файлы
- <Полный путь к файлу>
Самоудаляется.
Сетевая активность
Подключается к
- 'yu###520.com':902
- 'ys##.ysepan.com':80
TCP
Запросы HTTP GET
- http://ys##.ysepan.com/610760220/419568934/o73275J3MI6LHNSiTNfGc6/%E4%BA%91%E5%9B%BE%E4%BA%91%E4%B8%BB%E6%9C%BA.exe
Запросы HTTP POST
- http://yu####20.com:902/api2/ via yu###520.com
UDP
- DNS ASK 20##.ip138.com
- DNS ASK yu###520.com
- DNS ASK ys##.ysepan.com
Другое
Создает и запускает на исполнение
- '<Текущая директория>\update.exe' aHR0cDovL3lzLWoueXNlcGFuLmNvbS82MTA3NjAyMjAvNDE5NTY4OTM0L283MzI3NUozTUk2TEhOU2lUTmZHYzYvJUU0JUJBJTkxJUU1JTlCJUJFJUU0JUJBJTkxJUU0JUI4JUJCJUU2JTlDJUJBLmV4ZXxDOlxmeHpwaXBldVx3eHlmYy5leGV8d3h5ZmMuZ...
