Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\d6thbf8p.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES8.tmp" "%TEMP%\CSC7.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\vpynjdav.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESC.tmp" "%TEMP%\CSCB.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\npsf4__f.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA.tmp" "%TEMP%\CSC9.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\jlnuf6hk.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\CSC1.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\tk9pyq_y.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6.tmp" "%TEMP%\CSC5.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\_fkurc1s.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%TEMP%\CSC3.tmp"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\RES8.tmp
- %TEMP%\CSC7.tmp
- %TEMP%\vpynjdav.dll
- %TEMP%\d6thbf8p.cmdline
- %TEMP%\d6thbf8p.0.cs
- %TEMP%\_fkurc1s.dll
- %TEMP%\RES6.tmp
- %TEMP%\vpynjdav.0.cs
- %TEMP%\vpynjdav.out
- %TEMP%\vpynjdav.cmdline
- %TEMP%\d6thbf8p.dll
- %TEMP%\npsf4__f.out
- %TEMP%\CSCB.tmp
- %TEMP%\npsf4__f.dll
- %TEMP%\RESC.tmp
- %TEMP%\CSC9.tmp
- %TEMP%\d6thbf8p.out
- %TEMP%\RESA.tmp
- %TEMP%\npsf4__f.cmdline
- %TEMP%\npsf4__f.0.cs
- %TEMP%\CSC1.tmp
- %TEMP%\tk9pyq_y.out
- %TEMP%\RES2.tmp
- %TEMP%\jlnuf6hk.0.cs
- %TEMP%\tk9pyq_y.dll
- <Текущая директория>\TBarCode9.dll
- <Текущая директория>\inpout32.dll
- <Текущая директория>\StarIOPort.dll
- %TEMP%\tk9pyq_y.cmdline
- %TEMP%\tk9pyq_y.0.cs
- %TEMP%\_fkurc1s.0.cs
- <Текущая директория>\log\log.txt
- %TEMP%\_fkurc1s.cmdline
- %TEMP%\CSC5.tmp
- %TEMP%\_fkurc1s.out
- %TEMP%\jlnuf6hk.out
- %TEMP%\jlnuf6hk.cmdline
- %TEMP%\CSC3.tmp
- %TEMP%\jlnuf6hk.dll
- %TEMP%\RES4.tmp
Удаляет следующие файлы:
- %TEMP%\RESA.tmp
- %TEMP%\vpynjdav.cmdline
- %TEMP%\d6thbf8p.dll
- %TEMP%\CSC9.tmp
- %TEMP%\vpynjdav.out
- %TEMP%\CSC7.tmp
- %TEMP%\RES8.tmp
- %TEMP%\vpynjdav.0.cs
- %TEMP%\vpynjdav.dll
- %TEMP%\npsf4__f.dll
- %TEMP%\npsf4__f.cmdline
- %TEMP%\npsf4__f.0.cs
- %TEMP%\npsf4__f.out
- %TEMP%\CSCB.tmp
- %TEMP%\d6thbf8p.cmdline
- %TEMP%\d6thbf8p.0.cs
- %TEMP%\RESC.tmp
- %TEMP%\d6thbf8p.out
- %TEMP%\_fkurc1s.0.cs
- %TEMP%\RES4.tmp
- %TEMP%\tk9pyq_y.0.cs
- %TEMP%\jlnuf6hk.cmdline
- %TEMP%\CSC3.tmp
- %TEMP%\tk9pyq_y.dll
- %TEMP%\CSC1.tmp
- %TEMP%\RES2.tmp
- %TEMP%\tk9pyq_y.out
- %TEMP%\tk9pyq_y.cmdline
- %TEMP%\_fkurc1s.out
- %TEMP%\CSC5.tmp
- %TEMP%\_fkurc1s.cmdline
- %TEMP%\_fkurc1s.dll
- %TEMP%\RES6.tmp
- %TEMP%\jlnuf6hk.0.cs
- %TEMP%\jlnuf6hk.dll
- <SYSTEM32>\d3d9caps.dat
- %TEMP%\jlnuf6hk.out
Перемещает следующие файлы:
- <SYSTEM32>\d3d9caps.tmp в <SYSTEM32>\d3d9caps.dat
Сетевая активность:
Подключается к:
- 'co#########ount.webservices.cbc-x.com':8888
- 'mt#.####ervices.cbc-x.com':8891
- 'wp#d':80
- 'se####es.cbc-x.com':80
TCP:
Запросы HTTP GET:
- se####es.cbc-x.com/geoip/v1/
- wp#d/wpad.dat
UDP:
- DNS ASK co#########ount.webservices.cbc-x.com
- DNS ASK mt#.####ervices.cbc-x.com
- DNS ASK wp#d
- DNS ASK se####es.cbc-x.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
