Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut7cfc.tmp
- %ALLUSERSPROFILE%\cfea\kswbc.dll
- %TEMP%\aut7d79.tmp
- %ALLUSERSPROFILE%\cfea\1.bat
- %ALLUSERSPROFILE%\kingsoft\kws\ase.ini
- %ALLUSERSPROFILE%\kingsoft\kws\spitesp.dat
- C:\2222.bat
Удаляет следующие файлы
- %TEMP%\aut7cfc.tmp
- %TEMP%\aut7d79.tmp
- %ALLUSERSPROFILE%\cfea\1.bat
- C:\2222.bat
Самоудаляется.
Сетевая активность
Подключается к
- '40##0.cn':80
TCP
Запросы HTTP GET
- http://www.40##0.cn/t3/Count.asp?ma###############################################
- http://www.40##0.cn/cdn-cgi/styles/cf.errors.css
- http://www.40##0.cn/cdn-cgi/styles/cf.errors.ie.css
Другие
- '34.##9.100.209':443
UDP
- DNS ASK 40##0.cn
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c %ALLUSERSPROFILE%\cfea\1.bat
- '<SYSTEM32>\cmd.exe' /c C:\2222.bat
- '%WINDIR%\syswow64\cmd.exe' /c ping 127.0.0.1 -n 3&del/q/s "<Полный путь к файлу>" (со скрытым окном)
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 3
