Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\f.ps1
- %TEMP%\ixp000.tmp\ff.exe
- %TEMP%\ixp000.tmp\smallbasiclibrary.dll
- %TEMP%\ixp000.tmp\mrkev.bat
- %TEMP%\ixp000.tmp\preput.txt
- %TEMP%\ixp000.tmp\lau.txt
- %TEMP%\ixp000.tmp\in.ps1
- %TEMP%\ixp000.tmp\output.txt
- %TEMP%\ixp000.tmp\peput.txt
- %TEMP%\ixp000.tmp\outputs.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\ixp000.tmp\ff.exe
- %TEMP%\ixp000.tmp\smallbasiclibrary.dll
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\in.ps1
- %TEMP%\ixp000.tmp\lau.txt
- %TEMP%\ixp000.tmp\preput.txt
- %TEMP%\ixp000.tmp\mrkev.bat
- %TEMP%\ixp000.tmp\smallbasiclibrary.dll
- %TEMP%\ixp000.tmp\ff.exe
- %TEMP%\ixp000.tmp\f.ps1
- %TEMP%\ixp000.tmp\output.txt
- %TEMP%\ixp000.tmp\outputs.txt
- %TEMP%\ixp000.tmp\peput.txt
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'ap#.#asymc.io':443
TCP
- 'ap#.#asymc.io':443
UDP
- DNS ASK ap#.#asymc.io
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\ff.exe'
- '<SYSTEM32>\cmd.exe' /c mrkev.bat' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c mrkev.bat
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass .\f.ps1
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -executionpolicy bypass .\in.ps1
