Техническая информация
Вредоносные функции
Загружает и запускает на исполнение
- https://www.up##ad.ee/download/5942158/bd942335cb9b10017d1e/1.exe как %appdata%\example.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\cheat-engine-6-5-1.exe
- %APPDATA%\1.bat
- %TEMP%\is-6tgu8.tmp\cheat-engine-6-5-1.tmp
- %TEMP%\is-8r26s.tmp\_isetup\_setup64.tmp
- %TEMP%\is-8r26s.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-8r26s.tmp\ocsetuphlp.dll
Сетевая активность
TCP
- 'up##ad.ee':443
UDP
- DNS ASK ap#.###ommendedsw.com
- DNS ASK up##ad.ee
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'FB10AEAC623B4786AF6E8C0EDA052CE5' WindowName: ''
- ClassName: '995D92B2-4ED9-43A7-9338-8CC7D1746F96' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\cheat-engine-6-5-1.exe'
- '%TEMP%\is-6tgu8.tmp\cheat-engine-6-5-1.tmp' /SL5="$80220,10670942,56832,%APPDATA%\cheat-engine-6-5-1.exe"
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\is-8R26S.tmp\OCSetupHlp.dll",_OCPID0736OpenCandy2@16 228,FB10AEAC623B4786AF6E8C0EDA052CE5,FE6B7770DD014BC1894A6793FEDC36F4,4C91DA579650403CB97F128814391CF3' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%APPDATA%\1.bat" "
- '%WINDIR%\syswow64\rundll32.exe' "%TEMP%\is-8R26S.tmp\OCSetupHlp.dll",_OCPID0736OpenCandy2@16 228,FB10AEAC623B4786AF6E8C0EDA052CE5,FE6B7770DD014BC1894A6793FEDC36F4,4C91DA579650403CB97F128814391CF3
