Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://cn##.sjt8.com/info.access/?st##########
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~e05f.bat
- %LOCALAPPDATA%\yclient.ini
- %LOCALAPPDATA%\client.ini
- %LOCALAPPDATA%\dclient.ini
- %LOCALAPPDATA%\hta.txt
- %LOCALAPPDATA%\kinstall.exe
- %LOCALAPPDATA%\sqlite3.txt
- %LOCALAPPDATA%\sta.txt
- %ProgramFiles(x86)%\winrar\hta.hta
- %ProgramFiles(x86)%\winrar\mshta.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~e05f.bat
Сетевая активность
UDP
- DNS ASK cn##.sjt8.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\winrar\mshta.exe' "%ProgramFiles%\WinRAR\hta.hta"
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://cn##.sjt8.com/info.access/?st##########' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~E05F.bat "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~E05F.bat "<Полный путь к файлу>"
- '%WINDIR%\syswow64\mshta.exe' vbscript:createobject("wscript.shell").run("""iexplore""http://cn##.sjt8.com/info.access/?st##########",0)(window.close)
- '%WINDIR%\syswow64\msiexec.exe' /i "%LOCALAPPDATA%\hta.txt" /quiet
