Техническая информация
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\yhczku.dll.log
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Удаляет следующие файлы
- <Текущая директория>\yhczku.dll.log
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность
Подключается к
- 'ch####ha.cswblm.com':8088
UDP
- DNS ASK zz###o.i8cs.com
- DNS ASK ch####ha.cswblm.com
- DNS ASK dh.#8cs.com
- DNS ASK ip##.yqxqc.com
- DNS ASK dn##.i8cs.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'qwerpoiu'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: '' WindowName: 'Internet Explorer'
- ClassName: '' WindowName: 'asdflkjh'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del /f /s /q "%USERPROFILE%\COOKIES\*.TXT"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del /f /s /q "%USERPROFILE%\Local Settings\<INETFILES>\*.*"' (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' <SYSTEM32> -s -h' (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' <DRIVERS>\etc\hosts -s -h -r' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del /f /s /q "%USERPROFILE%\COOKIES\*.TXT"
- '%WINDIR%\syswow64\cmd.exe' /c del /f /s /q "%USERPROFILE%\Local Settings\<INETFILES>\*.*"
- '%WINDIR%\syswow64\attrib.exe' <SYSTEM32> -s -h
- '%WINDIR%\syswow64\attrib.exe' <DRIVERS>\etc\hosts -s -h -r
