Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\defender.lnk
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\run.tcl
- %APPDATA%\nir.exe
- %APPDATA%\run.exe
- %APPDATA%\hvd
Сетевая активность
TCP
Запросы HTTP GET
- http://93.##5.19.226/tt/page.php?id############################################################
- http://93.##5.19.226/tt/page.php?id###########################################################################################################################################################
- http://93.##5.19.226/tt/page.php?id##############################################################################################################################################################...
Другое
Создает и запускает на исполнение
- '%APPDATA%\nir.exe' exec hide run.exe run.tcl
- '%APPDATA%\run.exe' run.tcl
- '%APPDATA%\nir.exe' shortcut ~$folder.appdata$/evl.exe "~$folder.appdata$/Microsoft/Windows/Start Menu/Programs/Startup" Defender
- '%APPDATA%\run.exe' run.tcl' (со скрытым окном)
