Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\_mei1482\pil\_imaging.cp37-win_amd64.pyd
- nul
- %TEMP%\tmp23s3jmtq.png
- %TEMP%\d3si0ohu
- %TEMP%\_mei1482\certifi\cacert.pem
- %TEMP%\_mei1482\base_library.zip
- %TEMP%\_mei1482\include\pyconfig.h
- %TEMP%\_mei1482\win32evtlog.pyd
- %TEMP%\_mei1482\win32api.pyd
- %TEMP%\_mei1482\unicodedata.pyd
- %TEMP%\_mei1482\select.pyd
- %TEMP%\_mei1482\pywintypes37.dll
- %TEMP%\_mei1482\python37.dll
- %TEMP%\_mei1482\pyexpat.pyd
- %TEMP%\_mei1482\pic.exe.manifest
- %TEMP%\_mei1482\libssl-1_1.dll
- %TEMP%\_mei1482\libcrypto-1_1.dll
- %TEMP%\_mei1482\_ssl.pyd
- %TEMP%\_mei1482\_socket.pyd
- %TEMP%\_mei1482\_queue.pyd
- %TEMP%\_mei1482\_lzma.pyd
- %TEMP%\_mei1482\_hashlib.pyd
- %TEMP%\_mei1482\_decimal.pyd
- %TEMP%\_mei1482\_ctypes.pyd
- %TEMP%\_mei1482\_bz2.pyd
- %TEMP%\_mei1482\vcruntime140.dll
- %TEMP%\_mei1482\pil\_webp.cp37-win_amd64.pyd
- %TEMP%\_mei1482\pil\_imagingtk.cp37-win_amd64.pyd
- %HOMEPATH%\.syslogs\applet.jpg
- %HOMEPATH%\.syslogs\.pc.png
Удаляет следующие файлы
- %TEMP%\d3si0ohu
- %TEMP%\tmp23s3jmtq.png
- %HOMEPATH%\.syslogs\.pc.png
Сетевая активность
Подключается к
- 'a3####e1.ngrok.io':80
TCP
Запросы HTTP POST
- http://a3####e1.ngrok.io/bs/initiateconn
UDP
- DNS ASK a3####e1.ngrok.io
Другое
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c start "Pillow" /WAIT "%TEMP%\tmp23s3jmtq.PNG" && ping -n 2 127.0.0.1 >NUL && del /f "%TEMP%\tmp23s3jmtq.PNG"
- '<SYSTEM32>\ping.exe' -n 2 127.0.0.1
