Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\Yoho\help.exe
- C:\rar.txt e -y -pa7533070 c:\jian.jpg "%PROGRAM_FILES%\Yoho\"
Запускает на исполнение:
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\Yoho\vbs2.vbs"
- <SYSTEM32>\wbem\mofcomp.exe -N:root\cimv2 <SYSTEM32>\wbem\asecimv2.mof
- <SYSTEM32>\wscript.exe "%PROGRAM_FILES%\Yoho\vbs1.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Yoho\My1234.txt
- %PROGRAM_FILES%\Yoho\my.txt
- %TEMP%\tmp1.tmp
- <SYSTEM32>\wbem\asecimv2.mof
- %PROGRAM_FILES%\Yoho\vbs2.vbs
- C:\rar.txt
- C:\jian.jpg
- %PROGRAM_FILES%\Yoho\vbs1.vbs
- %PROGRAM_FILES%\Yoho\help.exe
Удаляет следующие файлы:
- C:\jian.jpg
- %PROGRAM_FILES%\Yoho\vbs1.vbs
- %PROGRAM_FILES%\Yoho\vbs2.vbs
- %TEMP%\tmp1.tmp
- <SYSTEM32>\wbem\asecimv2.mof
- C:\rar.txt
Самоудаляется.
Сетевая активность:
Подключается к:
- 'xi####z.3322.org':8088
UDP:
- DNS ASK xi####z.3322.org
