Техническая информация
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.zjfseo.com/
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rom37a3.tmp.exe
- %TEMP%\rom45f6.tmp.exe
Удаляет следующие файлы
- %TEMP%\rom37a3.tmp.exe
- %TEMP%\rom45f6.tmp.exe
Сетевая активность
Подключается к
- 'uc##k.com':80
TCP
Запросы HTTP GET
- http://uc##k.com/qicaihong/index2.html
UDP
- DNS ASK uc##k.com
- DNS ASK zj##eo.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\rom37A3.tmp.exe > %TEMP%\rom37A3.tmp' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\rom45F6.tmp.exe > %TEMP%\rom45F6.tmp' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del <SYSTEM32>\\drivers\etc\hosts' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /flushdns' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\rom37A3.tmp.exe > %TEMP%\rom37A3.tmp
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\rom45F6.tmp.exe > %TEMP%\rom45F6.tmp
- '%WINDIR%\syswow64\cmd.exe' /c del <SYSTEM32>\\drivers\etc\hosts
- '%WINDIR%\syswow64\cmd.exe' /c ipconfig /flushdns
- '%WINDIR%\syswow64\ipconfig.exe' /flushdns
