Техническая информация
Изменения в файловой системе
Создает следующие файлы
- C:\½ð¼×é±éñ¶ñä§\½ð¼×é±éñ¶ñä§.exe
- %ALLUSERSPROFILE%\ttt7.ini
- %TEMP%\½ð¼×é±éñ¶ñä§.exepack.tmp
- %TEMP%\ce2d8eb598e475c445cd7b11ce7d0f82a.ini
- %TEMP%\ce2d8eb598e475c445cd7b11ce7d0f82.ini
- %TEMP%\ii.html
- <Текущая директория>\delself.cmd
- %TEMP%\67b8a2.txt
- %TEMP%\²¹¶¡.zip
- C:\½ð¼×é±éñ¶ñä§\data\esp-b.dat
- C:\½ð¼×é±éñ¶ñä§\data\espzs.pak
- C:\½ð¼×é±éñ¶ñä§\wav\sound.lst
- C:\½ð¼×é±éñ¶ñä§\data\newopui.pak
- C:\½ð¼×é±éñ¶ñä§.lnk
Удаляет следующие файлы
- %TEMP%\ce2d8eb598e475c445cd7b11ce7d0f82.ini
- <Текущая директория>\delself.cmd
- %TEMP%\²¹¶¡.zip
Перемещает следующие файлы
- C:\½ð¼×é±éñ¶ñä§.lnk в %HOMEPATH%\desktop\½ð¼×é±éñ¶ñä§.lnk
Самоудаляется.
Сетевая активность
Подключается к
- 'd_#.##rgesder.com':8888
- 'ht##q.com':80
- 'a.##sf.com':7000
- '45.##3.200.240':7685
- 'pk##7.com':443
- 'pk##7.com':80
TCP
Запросы HTTP GET
- http://d_#.###gesder.com:8888/ via d_#.##rgesder.com
- http://www.ht##q.com/bmd.txt
- http://www.pk##7.com/link.htm
Другие
- 'a.##sf.com':7000
- '45.##3.200.240':7685
- 'pk##7.com':443
UDP
- DNS ASK d_#.##rgesder.com
- DNS ASK a.##sf.com
- DNS ASK ht##q.com
- DNS ASK pk##7.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- 'C:\½ð¼×é±éñ¶ñä§\½ð¼×é±éñ¶ñä§.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c delself.cmd (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "C:\½ð¼×ɱÉñ¶ñħ\*.dll" (со скрытым окном)
