Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\jmldyiroxqmdzkthvaolqimqwp.exe
- %TEMP%\rarsfx0\myhooklib2.dll
- %TEMP%\rarsfx0\myie2.dll
- %TEMP%\rarsfx0\myuaok.xls
- %TEMP%\rarsfx0\wbds0104.exe
- %TEMP%\rarsfx0\58config.xls
- %TEMP%\rarsfx0\libxl.dll
- %TEMP%\globallzdel.bat
- C:\mylzcc.cfg
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\604pwz7f\106[1]
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\internet explorer\domstore\index.dat
- %LOCALAPPDATA%\microsoft\internet explorer\domstore\7x69i3ky\bj.58[1].xml
Удаляет следующие файлы
- %TEMP%\jmldyiroxqmdzkthvaolqimqwp.exe
Сетевая активность
Подключается к
- 'ju##.#una.58.com':80
- '58.com':443
- 'c.###dn.com.cn':443
- 'j1.##cdn.com.cn':443
- 'st#####home.58che.com':443
TCP
Запросы HTTP GET
- http://ju##.#una.58.com/i/27dS
Другие
- '58.com':443
- 'c.###dn.com.cn':443
- 'ap#.58.com':443
- 'st#####home.58che.com':443
UDP
- DNS ASK ju##.#una.58.com
- DNS ASK 58.com
- DNS ASK bj.#8.com
- DNS ASK c.###dn.com.cn
- DNS ASK im#.##cdn.com.cn
- DNS ASK j1.##cdn.com.cn
- DNS ASK st#####home.58che.com
- DNS ASK ap#.58.com
- DNS ASK us##.58.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\jmldyiroxqmdzkthvaolqimqwp.exe'
- '%TEMP%\rarsfx0\wbds0104.exe'
- '%TEMP%\rarsfx0\wbds0104.exe' -t 1100 -m 5 -a http://jump.luna.58.com/i/27dS
Запускает на исполнение
- '%TEMP%\jmldyiroxqmdzkthvaolqimqwp.exe' (со скрытым окном)
