Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\2020227
- %WINDIR%\time
Удаляет следующие файлы
- %WINDIR%\temp\8147932992814195939363050711163993686\adobearm.exe
- %WINDIR%\temp\adobearm.log
- %WINDIR%\temp\dmi8538.tmp
- %WINDIR%\temp\fxsapidebuglogfile.txt
- %WINDIR%\temp\fxstiffdebuglogfile.txt
- %WINDIR%\temp\ts_267a.tmp
- %WINDIR%\temp\ts_2b0f.tmp
- %WINDIR%\temp\ts_2bfb.tmp
- %WINDIR%\temp\ts_316a.tmp
- %WINDIR%\temp\ts_361e.tmp
- %WINDIR%\temp\ts_3852.tmp
- %WINDIR%\temp\ts_39ba.tmp
- %WINDIR%\temp\ts_4f66.tmp
- %WINDIR%\temp\ts_5080.tmp
- %WINDIR%\temp\ts_77d1.tmp
- %WINDIR%\temp\ts_8e67.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://www.23##.com/?k6####
- http://oc##.##gicert-cn.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAXR%2FFkuct0c0CPNGBjapx8%3D
- http://cr#.##gicert-cn.com/DigiCertGlobalRootCA.crl
UDP
- DNS ASK yb##.com
- DNS ASK 23##.com
- DNS ASK cr#.##gicert-cn.com
- DNS ASK oc##.##gicert-cn.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Microsoft Internet Explorer'
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /v "<Полный путь к файлу>" /t REG_SZ /d "~ RUNASADMIN" /f' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /v "<Полный путь к файлу>" /t REG_SZ /d "~ RUNASADMIN" /f
