Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /u /s MMCShell.dll
- '<SYSTEM32>\cmd.exe' /c ""%PROGRAM_FILES%\18C900~1\xiezaidll.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\rjmch.cj
- %PROGRAM_FILES%\18ІҐ·ЕЖч\rjyunxing.exe
- C:\SYS\SP00LSV.EXE
- <SYSTEM32>\shdocvw.oca
- <SYSTEM32>\Mswinsck.ocx
- %PROGRAM_FILES%\18ІҐ·ЕЖч\rjbanben.cj
- %PROGRAM_FILES%\18ІҐ·ЕЖч\18ІҐ·ЕЖч.exe
- %PROGRAM_FILES%\18ІҐ·ЕЖч\tvtongji.EXE
- %WINDIR%\rjqing.cj
- C:\fqcntqm5\pk02-i383.bat
- %PROGRAM_FILES%\18ІҐ·ЕЖч\HookMenu.ocx
- %PROGRAM_FILES%\18ІҐ·ЕЖч\xiezaidll.bat
- <SYSTEM32>\VIS3b3a.TMP
- %TEMP%\~vis0000\miscdata.xyz
- %TEMP%\~vis0000\rebootnt.exe
- %TEMP%\~vis0000\uninst32.exe
- %TEMP%\~vis0000\vise32ex.dll
- %TEMP%\~vis0000\English.vlg
- %TEMP%\~vis0000\jpeg.dll
- %TEMP%\~vis0000\default.bmp
- <SYSTEM32>\COMDLG32.OCX
- <SYSTEM32>\MSCOMCTL.OCX
- <SYSTEM32>\MSINET.OCX
- %TEMP%\~vis0000\°ІЧ°НјПс.jpg
- %TEMP%\~vis0000\uninstal.log
- %TEMP%\~vis0000\rollback.log
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\18ІҐ·ЕЖч\rjbanben.cj
Удаляет следующие файлы:
- %TEMP%\~vis0000\miscdata.xyz
Сетевая активность:
Подключается к:
- 'localhost':1037
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
