Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im "记牌器电脑版.exe"
- '%WINDIR%\syswow64\taskkill.exe' /f /im "记牌器制作发布版本.exe"
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\更新的.exe
- <Текущая директория>\软件简介.png
- <Текущая директория>\已经ok了.bat
- nul
- <Текущая директория>\记牌器电脑版.exe
- <Текущая директория>\ecvjb.dll
- %TEMP%\d8388.tmp
- %TEMP%\d83a7.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\d8388.tmp
- %TEMP%\d83a7.tmp
Сетевая активность
UDP
- DNS ASK lo###1.jkb9.com
- DNS ASK lo####2.jkb9.com
Другое
Ищет следующие окна
- ClassName: 'Edit' WindowName: ''
- ClassName: 'NarratorUIClass' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\更新的.exe'
- '<Текущая директория>\记牌器电脑版.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\已经ok了.bat" "
- '%WINDIR%\syswow64\chcp.com' 65001
- '%WINDIR%\syswow64\timeout.exe' /t 3 /nobreak
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '%WINDIR%\syswow64\timeout.exe' /t 1 /nobreak
