Техническая информация
Для обеспечения автозапуска и распространения
Подменяет следующие исполняемые системные файлы
- %WINDIR%\SysWOW64\winrnr.dll файлом %WINDIR%\syswow64\wrtemp
- %WINDIR%\SysWOW64\dsound.dll файлом %WINDIR%\syswow64\dsoundtemp
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Cредство проверки системных файлов (SFC)
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\yanhuang.exe
- %TEMP%\update.exe
- %WINDIR%\syswow64\3033.tmp
- %WINDIR%\syswow64\sfcos.dll
- %WINDIR%\syswow64\wrtemp
- %WINDIR%\syswow64\dsoundtemp
- C:\del.bat
Удаляет следующие файлы
- %TEMP%\update.exe
Перемещает следующие файлы
- %WINDIR%\syswow64\3033.tmp в %WINDIR%\syswow64\s2am.ime
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\update.exe'
- '%TEMP%\yanhuang.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\sfc.exe' /REVERT (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c c:\del.bat (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\s2am.ime,Runed
