Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\4i2hok5jiyy\0wmd4siy2pl.exe
- %TEMP%\is-7k7dv.tmp\0wmd4siy2pl.tmp
- %TEMP%\is-adkmp.tmp\_isetup\_setup64.tmp
- %TEMP%\is-adkmp.tmp\_isetup\_isdecmp.dll
- %TEMP%\is-adkmp.tmp\idp.dll
- %TEMP%\is-adkmp.tmp\itdownload.dll
- %TEMP%\is-adkmp.tmp\psvince.dll
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012020090920200910\index.dat
Сетевая активность
TCP
Запросы HTTP GET
- http://do##.##tchcraftcash.com/afu.php?zo##################
- http://do##.##tchcraftcash.com/favicon.ico
UDP
- DNS ASK od#####.##.eu-central-1.amazonaws.com
- DNS ASK th######ffersintheweb.com
- DNS ASK do##.##tchcraftcash.com
- DNS ASK my.##mark.net
Другое
Ищет следующие окна
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\4i2hok5jiyy\0wmd4siy2pl.exe' /VERYSILENT
- '%TEMP%\is-7k7dv.tmp\0wmd4siy2pl.tmp' /SL5="$B0236,633652,156160,%APPDATA%\4i2hok5jiyy\0wmd4siy2pl.exe" /VERYSILENT
