Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\<Имя файла>.exepack.tmp
- %TEMP%\cccd3fe3003653237a836af9987fbb86a.ini
- %TEMP%\cccd3fe3003653237a836af9987fbb86.ini
- %TEMP%\4f3854.txt
- %TEMP%\²¹¶¡.zip
- <Текущая директория>\data\bbzdywb.txt
- <Текущая директория>\data\esp-b.dat
- <Текущая директория>\data\esp_ng.dat
- <Текущая директория>\data\mapdesc2.dat
- <Текущая директория>\wav\sound.lst
- <Текущая директория>\data\newopui.pak
- %TEMP%\cccd3fe3003653237a836af9987fbb86.dat
- C:\¨¢½ð¡õ¸õ©ê´«¨é뵦§205-02.lnk
Удаляет следующие файлы
- %TEMP%\cccd3fe3003653237a836af9987fbb86.ini
- %TEMP%\²¹¶¡.zip
Перемещает следующие файлы
- C:\¨¢½ð¡õ¸õ©ê´«¨é뵦§205-02.lnk в %HOMEPATH%\desktop\¨¢½ð¡õ¸õ©ê´«¨é뵦§205-02.lnk
Самоудаляется.
Сетевая активность
Подключается к
- 'ht##q.com':80
- 'a.##sf.com':7000
- 'lb.#qpk.com':58588
- 'lb.#qpk.com':20588
TCP
Запросы HTTP GET
- http://www.ht##q.com/bmd.txt
Другие
- 'a.##sf.com':7000
- 'lb.#qpk.com':58588
- 'lb.#qpk.com':20588
UDP
- DNS ASK ht##q.com
- DNS ASK a.##sf.com
- DNS ASK lb.#qpk.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*phknz.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*.dll"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*phknz.exe"
- '%WINDIR%\syswow64\cmd.exe' /c del "<Текущая директория>\*.dll"
