Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exepack.tmp
- %TEMP%\d61c31927a117b4ce8cc4fc6ed108ce5a.ini
- %TEMP%\d61c31927a117b4ce8cc4fc6ed108ce5.ini
- %TEMP%\3575a5.txt
- %TEMP%\²¹¶¡.zip
- <Текущая директория>\data\bbzdywb.txt
- <Текущая директория>\data\esp-b.dat
- <Текущая директория>\data\mapdesc1.dat
- <Текущая директория>\ermaomir\data\mapdesc1.dat
- <Текущая директория>\data\newopui.pak
Удаляет следующие файлы
- %TEMP%\d61c31927a117b4ce8cc4fc6ed108ce5.ini
- %TEMP%\²¹¶¡.zip
Самоудаляется.
Сетевая активность
Подключается к
- 'ht##q.com':80
- 'a.##sf.com':7000
- '10#.#9.232.25':6526
- '65##c.top':7777
- '32###.####cn-hangzhou.aliyuncs.com':443
TCP
Запросы HTTP GET
- http://www.ht##q.com/bmd.txt
- http://www.65###.top:7777/%C3%82%C3%92%C3%8A%C3%80%C3%8D%C3%B5%C3%95%C3%9F/%C3%81%C3%90%C2%B1%C3%AD/111809.txt via 65##c.top
Другие
- 'a.##sf.com':7000
- '32###.####cn-hangzhou.aliyuncs.com':443
UDP
- DNS ASK ht##q.com
- DNS ASK a.##sf.com
- DNS ASK 65##c.top
- DNS ASK 32###.####cn-hangzhou.aliyuncs.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*yht.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*.dll"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*yht.exe"
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*.dll"
