Техническая информация
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\conim.exe
- %WINDIR%\svcho.exe
- %WINDIR%\svchost.exe
- %WINDIR%\kavni.exe
- %TEMP%\bt1001.bat
- %WINDIR%\kavs.txt
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\bt1001.bat
Удаляет следующие файлы
- %TEMP%\bt1001.bat
Сетевая активность
Подключается к
- 'yo#9.cn':80
TCP
Запросы HTTP GET
- http://www.yo#9.cn/down/downtj.html
UDP
- DNS ASK yo#9.cn
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\kavni.exe'
- '%WINDIR%\conim.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\bt1001.bat (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /S /D /c" echo q "
