Technical Information
- %WINDIR%\syswow64\svchost.exe
- %TEMP%\6eb9.tmp
- %TEMP%\6eb9.tmp
- http://th###hrhereo.cn/ml/bb.php?id###################################
- DNS ASK th###hrhereo.cn
- '%ProgramFiles%\microsoft office\office14\winword.exe' /Automation -Embedding
- '%WINDIR%\syswow64\svchost.exe'