Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\fldr\buffertemppho
- %ALLUSERSPROFILE%\fldr\buffertemppho
- %ProgramFiles(x86)%\davalliawebsiamanager\davalliasweb.exe
Удаляет следующие файлы
- %APPDATA%\fldr\buffertemppho
- %ALLUSERSPROFILE%\fldr\buffertemppho
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK di######ownloadstudio.com
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\davalliawebsiamanager\davalliasweb.exe' 15718153152714 1doOaFssI94mWQ/IaE7HfexR1sNPBw6c6XlzhuKmc1xtzeJu7tBCMy3VIe7GuARGzZ+kc6uZaDcIxivWmBc7TMVMXZUeSZXciIGC4mYRs2c= TuKCPpBwz6YWceq84cv56zxB0eYI9tks+Gd7Bvg8Elle6CrM4Ylhycs8ftIwlJ4QY1cZe...
- '%WINDIR%\syswow64\cmd.exe' /d /c timeout 5 & cmd /d /c del /f /q "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /d /c timeout 5 & cmd /d /c del /f /q "<Полный путь к файлу>"
- '%WINDIR%\syswow64\timeout.exe' 5
- '%WINDIR%\syswow64\cmd.exe' /d /c del /f /q "<Полный путь к файлу>"
