Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\nsgd9d7.tmp\userinfo.dll
- %TEMP%\nsgd9d7.tmp\access40.dll
- %TEMP%\~dc2a.tmp
- %TEMP%\~dc2b.cmd
- %TEMP%\nsgd9d7.tmp\system.dll
- %TEMP%\nsgd9d7.tmp\iob_english.ini
- %TEMP%\nsgd9d7.tmp\iob_russian.ini
- %TEMP%\nsgd9d7.tmp\ioc_english.ini
- %TEMP%\nsgd9d7.tmp\ioc_russian.ini
- %TEMP%\nsgd9d7.tmp\iod_english.ini
- %TEMP%\nsgd9d7.tmp\iod_russian.ini
- %TEMP%\nsgd9d7.tmp\langdll.dll
Удаляет файлы, которые сам же создал
- %TEMP%\~dc2a.tmp
Сетевая активность
Подключается к
- 'wi###tep.com':80
TCP
Запросы HTTP GET
- http://www.wi###tep.com/checknewversion/A260126492301A0687053696969705310a
UDP
- DNS ASK wi###tep.com
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\~dc2a.tmp' checknewversion 2601264923010a \B
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' \c %TEMP%\~DC2B.cmd (со скрытым окном)
