Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0x71FEE1CD6E56B214\ipconfig.exe' /flushdns
- '<LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0xB0FA5FEAE8BA5F9E\cmd.exe' /c ""<DRIVERS>\etc\1.bat" "
- '<LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0x3A273942309E24C7\131.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\etc\1.bat
- <LS_APPDATA>\S3ox\1.0.0.0\xsandbox.bin.__tmp__
Перемещает следующие файлы:
- %TEMP%\SPOON\CACHE\0xFCB1FFD377386470\sxs\Manifests\131.exe_0xce0548739854269f88797332a42f5cee.1.manifest.__tmp__ в %TEMP%\SPOON\CACHE\0xFCB1FFD377386470\sxs\Manifests\131.exe_0xce0548739854269f88797332a42f5cee.1.manifest
- <LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0xB0FA5FEAE8BA5F9E\cmd.exe.__tmp__ в <LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0xB0FA5FEAE8BA5F9E\cmd.exe
- <LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0x71FEE1CD6E56B214\ipconfig.exe.__tmp__ в <LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0x71FEE1CD6E56B214\ipconfig.exe
- %TEMP%\SPOON\CACHE\0xFCB1FFD377386470\sxs\_WinRAR SFX@1.0.0.0\WinRAR SFX.manifest.__tmp__ в %TEMP%\SPOON\CACHE\0xFCB1FFD377386470\sxs\_WinRAR SFX@1.0.0.0\WinRAR SFX.manifest
- <LS_APPDATA>\S3ox\1.0.0.0\xsandbox.bin.__tmp__ в <LS_APPDATA>\S3ox\1.0.0.0\xsandbox.bin
- <LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0x3A273942309E24C7\131.exe.__tmp__ в <LS_APPDATA>\S3ox\1.0.0.0\local\stubexe\0x3A273942309E24C7\131.exe
- %TEMP%\SPOON\CACHE\0xFCB1FFD377386470\sxs\_WinRAR SFX@1.0.0.0\_WinRAR SFX@1.0.0.0.manifest.__tmp__ в %TEMP%\SPOON\CACHE\0xFCB1FFD377386470\sxs\_WinRAR SFX@1.0.0.0\_WinRAR SFX@1.0.0.0.manifest
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'st###.spoon.net':443
UDP:
- DNS ASK st###.spoon.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
