Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\system.lnk
- <SYSTEM32>\tasks\9ce39b841b38222374dd70b5b442a443
Изменения в файловой системе
Создает следующие файлы
- C:\perfnet\5ndcitgwjastlfangncx.exe
- C:\perfnet\mweo7uhltwbtg2tun8zwpbraamyrcn.vbs
- C:\perfnet\tu393ggjsyymwkefbwvl2httfniz9f.bat
- C:\perfnet\c2aw6qb8mxnfhafvdszsmua1l6dzzg.bat
- C:\perfnet\vmcheck32.dll
- C:\perfnet\savescrt.exe
- C:\perfnet\system.vbe
- C:\perfnet\system.lnk
Сетевая активность
Подключается к
- '82.##6.36.154':80
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "C:\perfnet\MweO7uhLTWbtg2TuN8zWPbRAAMyRcN.vbs"
- 'C:\perfnet\5ndcitgwjastlfangncx.exe' -p6d28f4105de429ea4233f5fe86fb154123d9fc1a
- '%WINDIR%\syswow64\wscript.exe' "C:\perfnet\System.vbe"
- 'C:\perfnet\savescrt.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\perfnet\tu393ggJSYYmWKEfBwVL2HttFNIZ9F.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\perfnet\c2Aw6qb8MXnFHafVDsZSMuA1L6DzZg.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\perfnet\tu393ggJSYYmWKEfBwVL2HttFNIZ9F.bat" "
- '%WINDIR%\syswow64\cmd.exe' /c ""C:\perfnet\c2Aw6qb8MXnFHafVDsZSMuA1L6DzZg.bat" "
