Техническая информация
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im licecap.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-g7sv9.tmp\<Имя файла>.tmp
- %TEMP%\is-bddm4.tmp\_isetup\_setup64.tmp
- %APPDATA%\licecap\is-ij4ri.tmp
- %APPDATA%\licecap\is-qsuiu.tmp
- %APPDATA%\licecap\is-0k4l3.tmp
- %APPDATA%\licecap\licecap.cfg
Удаляет следующие файлы
- %TEMP%\is-bddm4.tmp\_isetup\_setup64.tmp
- %TEMP%\is-g7sv9.tmp\<Имя файла>.tmp
Перемещает следующие файлы
- %APPDATA%\licecap\is-ij4ri.tmp в %APPDATA%\licecap\licecap.exe
- %APPDATA%\licecap\is-qsuiu.tmp в %APPDATA%\licecap\uninst.exe
- %APPDATA%\licecap\is-0k4l3.tmp в %APPDATA%\licecap\licecap.dll
Сетевая активность
UDP
- DNS ASK st.##wzayy.com
- DNS ASK cf#.#swzayy.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'DirectUIHWND' WindowName: ''
- ClassName: 'CtrlNotifySink' WindowName: ''
- ClassName: 'Button' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\is-g7sv9.tmp\<Имя файла>.tmp' /SL5="$70240,532111,72704,<Полный путь к файлу>"
- '%APPDATA%\licecap\licecap.exe' -setup
- '%APPDATA%\licecap\licecap.exe' -run
- '%WINDIR%\syswow64\taskkill.exe' /f /im licecap.exe' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /s "%APPDATA%\LiceCap\Licecap.dll"
- '%WINDIR%\syswow64\rundll32.exe' LiceCap.dll DllGetClassObjectEx
- '<SYSTEM32>\rundll32.exe' LiceCap.dll DllGetClassObjectEx
