Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exepack.tmp
- %TEMP%\dab4418fdb73c8d7c02a6d388a7b652aa.ini
- %TEMP%\dab4418fdb73c8d7c02a6d388a7b652a.ini
- %TEMP%\1f451e.txt
- %TEMP%\²¹¶¡.zip
- <Текущая директория>\data\pon.wzx
- <Текущая директория>\duqingbud\data\ht.dat
- <Текущая директория>\wav\sound.lst
- <Текущая директория>\data\newopui.pak
- %TEMP%\dab4418fdb73c8d7c02a6d388a7b652a.dat
- C:\ëêôâ³áä¬[ðâ°æ].lnk
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Удаляет следующие файлы
- %TEMP%\dab4418fdb73c8d7c02a6d388a7b652a.ini
- %TEMP%\²¹¶¡.zip
Перемещает следующие файлы
- C:\ëêôâ³áä¬[ðâ°æ].lnk в %HOMEPATH%\desktop\ëêôâ³áä¬[ðâ°æ].lnk
Самоудаляется.
Сетевая активность
Подключается к
- 'ht##q.com':80
- 'a.##sf.com':7000
- '17##u.top':11919
- '43.##0.157.245':11999
TCP
Запросы HTTP GET
- http://www.ht##q.com/bmd.txt
- http://www.17###.top:11919/sy01.txt via 17##u.top
Другие
- 'a.##sf.com':7000
UDP
- DNS ASK ht##q.com
- DNS ASK a.##sf.com
- DNS ASK 17##u.top
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*xkk.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*.dll"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*xkk.exe"
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*.dll"
